上篇文章對於wireshark自帶的capinfos,dumpcap,editcap做了簡單的介紹,本篇文章將介紹餘下的幾個命令mergecap,rawshark,reordercap,text2pcap,作爲我的專欄《wireshark從入門到精通》中的一篇。
mergecap
Mergecap 從名字上 可以看出該命令的功能是合併多個報文爲一個報文。editcap這個命令可以將一個報文按照條件拆成多個小的報文,Mergecap做的是相反的功能。mergecap -h可以看到該命令提供的參數如圖1:
圖1
由於合併的功能比較的單一,因此參數也比較的少,所有參數都是圍繞着合併文件來的,並不像editcap那樣編輯一個pcap文件涉及的功能較多。一個使用該命令合併報文的示例如下:
mergecap -v -a -F pcap -w test.pcap 1*
- -v參數表示打印每一片報文的編號,報文較多的話會打屏。
- -a參數表示的是按照文件中順序將報文進行合併,默認情況是按照時間戳的順序進行合併。由於每一片報文頭部都是由有時間戳信息的,不明白的可以查看這裏。
- -F表示文件的存儲格式,例如pcap,pcapng等等。在-F後面參數爲空的情況下,會列出該命令支持的所有文件格式,對照選擇即可。
- -w即文件輸出的名稱。
- 1*