Слияние/добавление нескольких файлов pcap к существующему без перезаписи

Я использую tshark для фильтрации некоторых пакетов на основе фильтров отображения/чтения из одного файла в другой.

Я хочу иметь один окончательный выходной файл out.pcap после выполнения нескольких фильтров чтения по количеству файлов и объединить все в out.pcap.

Я пытался использовать mergecap, но он не позволяет добавлять (объединять) два файла и сохранять в одном из них без перезаписи.

Есть ли способ сделать это, так как я не хочу создавать временные файлы и в конце объединять их все вместе.


wireshark libpcap tcpdump tshark
person creativeDrive    schedule 24.05.2014    source источник

Ответы (1)


arrow_upward
1
arrow_downward

Это невозможно, насколько мне известно, с помощью существующих инструментов, хотя, учитывая способ расположения файла захвата, должна быть возможность написать новый инструмент (или расширить mergecap) для этого.

person Evan    schedule 26.05.2014
comment
Любые предложения по подходу к модификации слияния или tshark? - person creativeDrive; 29.05.2014
comment
Не моя компетенция, извините. Я бы спросил в списке рассылки wireshark-dev (wireshark.org/lists). - person Evan; 30.05.2014