一、GUI 介面
開啟 .pcap 封包記錄檔案,按「File / Merge」選擇第二份封包記錄檔,就完成合併,但記得存檔。
註:此方式不適用於要合併多個檔案,因為當選擇要合併第三份封包記錄檔時,Wireshark 會要求必須先存檔才能選擇合併第三份封包記錄檔,所以變成後面必須每次 Merge -> Save -> Merge -> Save.......(無窮回圈)。
二、Mergecap 指令
1. 當有多個檔案要合併時,此方式比較容易,mergecap.exe 在 C:\Program Files\Wireshark 資料夾底下。
2. 開啟命令提示字元,並 cd 至 C:\Program Files\Wireshark 資料夾下。
3. mergecap 指令參數如下。
Usage: mergecap [options] -w <outfile>|- <infile> [<infile> ...]
Output:
-a concatenate rather than merge files.
default is to merge based on frame timestamps.
-s <snaplen> truncate packets to <snaplen> bytes of data.
-w <outfile>|- set the output filename to <outfile> or '-' for stdout.
-F <capture type> set the output file type; default is pcapng.
an empty "-F" option will list the file types.
-I <IDB merge mode> set the merge mode for Interface Description Blocks; default is 'all'.
an empty "-I" option will list the merge modes.
Miscellaneous:
-h display this help and exit.
-v verbose output.
4. 若要合併數個封包記錄檔。
> mergecap -w outfile.pcapng dhcp-capture.pcapng imap-1.pcapng
5. 如果要合併十幾二十個以上的封包記錄檔,建議先將所有要合併的封包記錄檔,集中放在一個資料夾。
> mergecap -w outfile.pcapng D:packet*
資料參考來源:
沒有留言:
張貼留言