Отсутствующие пакеты после объединения двух файлов с помощью Wireshark/mergecap

Question

Отсутствующие пакеты после объединения двух файлов с помощью Wireshark/mergecap

У меня есть два файла pcapng. Каждый из них - захват трафика, который произошел на одном и том же маршрутизаторе, но на разных интерфейсах.

Поскольку я хочу изучить поведение протоколов маршрутизатора в глобальном масштабе, я подумал о слиянии этих двух файлов в один, поэтому было бы легче изучить различные протоколы.

Я использовал инструмент mergcap, такой как этот:

mergecap -w new_file.pcapng file1.pcapng file2.pcapng

Согласно руководству по mergecap, файлы будут объединены в хронологическом порядке на основе отметки времени каждого пакета в каждом file1.pcapng и file2.pcapng.

Проблема, с которой я сейчас сталкиваюсь, заключается в том, что после слияния пакеты, которые были у меня в file1.pcapng, не найдены с той же временной меткой в new_file.pcapng.

Кто-нибудь делал что-то подобное раньше? Я использую mergecap 2.0.2.

Спасибо!

Лукас

1

merge wireshark pcap-ng

Источник

user4421575 20 июн '16 в 20:00

1 ответ

Другие вопросы по тегам merge wireshark pcap-ng

user6327365 25 июн '16 в 21:00 2016-06-25 21:00 · Answer 1 · 2016-06-25 21:00

По умолчанию wireshark упорядочивает пакеты в хронологическом порядке, начиная с первого захваченного пакета. Поскольку вы объединили два файла захвата, у вас есть два пакета, которые были началом захвата, но только один из них является первым пакетом в файле. Выравнивание пакетов по времени на основе первого захваченного пакета не имеет смысла в случае объединенного захвата.

Чтобы быть справедливым, это может иметь смысл, если wireshark упорядочил все пакеты в хронологическом порядке, прежде чем выбирать, какой пакет был перехвачен первым. В настоящее время первым пакетом в файле является временная привязка (см. Временные ссылки) по умолчанию.

благодарно wireshark сохраняет время пакета как метку времени с момента EPOCH. Это позволяет выровнять пакеты в объединенном файле в хронологическом порядке, используя несколько параметров в View > Time Display Format,

Захваты с разных машин

Вышеуказанное имеет одно ограничение: поскольку временные метки основаны на EPOCH, если вы перехватываете пакеты с разных машин, вам нужно убедиться, что часы этих машин выровнены.

В случае, если ваши файлы захвата происходят с разных машин, а часы на этих машинах не выровнены, вам нужно сместить временные метки на одном из снимков перед объединением. Это, в свою очередь, может быть достигнуто с wiresharks Edit > Time Shift,