Estou tentando mesclar 15 arquivos pcap usando o wireshark. A fusão é bem sucedida.
Estou usando a função de anexação para que o segundo arquivo seja adicionado à parte inferior do primeiro arquivo. Mas quando isso é feito, recebo um valor negativo na coluna Time. Como posso mudar isto?
Estou assumindo que a diferença de tempo entre os quadros 4873 e 4874 é porque esses pacotes eram de arquivos diferentes.
Eu sugeriria usar o mergecap para mesclar os dois arquivos PCAP juntos, em vez de apenas concatenar (anexá-los) como você fez. Mergecap mescla os pacotes de acordo com o timestamp por padrão (usando a opção "-a" no mergecap resultaria em um arquivo concatenado como o seu).
Outra opção é carregar os dois arquivos de captura em CapLoader , selecionar todos os fluxos e exportá-los para um novo arquivo PCAP (usando drag- e soltar do ícone PCAP).
Finalmente, se você realmente deseja concatenar / anexar e NÃO ter os pacotes em ordem cronológica, basta clicar com o botão direito no pacote com o menor timestamp (por exemplo, frame 4874) e selecionar "Set Time Reference". Dessa forma, todos os timestamps serão mostrados como relativos a esse pacote no Wireshark.