networking - tshark - Cómo concatenar dos archivos tcpdump(archivos pcap)

Utilice mergecap de Wireshark:

mergecap ... -w output.cap

Wireshark tiene el comando Archivo -> Combinar que debería hacer esto.

También recuerdo que mergecap es una herramienta para hacerlo, pero no lo he usado en mucho tiempo.

mergecap puede resolver su problema, pero debe usarlo con la opción ''-a'', de lo contrario, reordena los paquetes temporalmente. Luego: mergecap -a file_1.pcap file_1.pcap file_1.cap -w output_file.pcap

para unir múltiples pcap, usa este script por lotes

todos los archivos de pcap deben estar en la misma carpeta que el script de proceso por lotes y también el primer archivo de pcap debe llamarse 01.pcap y el segundo debe ser 02.pcap cuando dirija el directorio, no hay otra limitación.

@echo off @setlocal enableextensions enabledelayedexpansion set /a var1=1 set mergecapL="C:/Program Files/Wireshark" dir /b *.pcap > list.txt %mergecapL%/mergecap.exe -w %cd%/out%var1%.pcap %cd%/01.pcap %cd%/02.pcap FOR /F "skip=2 delims=" %%A IN (list.txt) DO ( set var2=!var1! set /a var1+=1 %mergecapL%/mergecap.exe -w %cd%/out!var1!.pcap %cd%/out!var2!.pcap "%cd%/%%A" del out!var2!.pcap ) del list.txt

Como dicen las otras respuestas, puede usar Archivo-> Combinar en Wireshark, tcpslice o mergecap. También puede arrastrar un archivo a la ventana principal de Wireshark. Si Wireshark / tcpdump / snort / Ntop / etc fuera compatible con pcap-ng, simplemente podría concatenar sus archivos de captura.