Go to Qiita Advent Calendar Top
LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@ouQVZUDx

3つの[Wireshark]パケットキャプチャファイルを結合して1つのセッションにする方法

Posted at

はじめに

個人的に解析行う際に、複数の.pcapngファイルに分割されていると、全体の流れを追いづらいことがあった。この記事では、3つのパケットキャプチャファイルを1つに結合する方法を解説します。

対象ファイル

以下の3つのパケットキャプチャファイルを結合します。

  • Sample1.pcapng
  • Sample2.pcapng
  • Sample3.pcapng

使用するツール

  • Wireshark
  • mergecap

wiresharkはパケット解析ツール、mergecapはWiresharkの付属するコマンドラインツールのことである。

注意
mergecapはWiresharkをインストールすると一緒に入っています。

前提条件

  • 各.pcapngファイルは、同じセッションまたは同一ホス間の通信であること
  • タイムスタンプが保存されていること(結合後の時系列順処理に必要)

結合コマンド

mergecap -w merged_sample123_session.pcapng Sample1.pcapng Sample2.pcapng Sample3.pcapng
  • -W:出力ファイル名を指定
  • 入力ファイルは順不同でOK(タイムスタンプで自動的にソートされます)

結合後の確認方法

  1. merged_sample123_session.pcapngをWiresharkで開く
  2. 各自で分析に利用してください

まとめ

  • mergecap を使えば複数の .pcapng を1つに簡単にまとめられる

参考になると幸いです。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?