我在大型pcapng文件上使用带有选项“ -d”的editcap来删除重复的数据包(源文件11GB,新文件5GB)。之后,我从两个pcapng文件中提取了所有包含的文件(免费使用Networkminer)。我认为不会有数据丢失。 相反,当我比较两个提取文件夹(AssembledFiles)时,我发现其中一个文件夹中大约缺少30个文件。这怎么解释?为什么删除重复的数据包会导致数据丢失?
我从“ https://www.wireshark.org/download.html”下载了Wireshark 文件:Windows Installer(64位)-稳定版本2.6.6-(v2.6.6-0-gdf942cd8)
然后我从Wireshark安装文件夹中获得了editcap(v 2.6.6.0)。 << ...... c:\ Program Files \ Wireshark \ ...... >>
批处理:
<< ......
@echo off
回声。
回声。
回声1.打印editcap版本
回声。
“ c:\ Program Files \ Wireshark \ editcap.exe” -V
回声。
回声。
回声2.从File.pcapng中删除重复的数据包
回声。
“ c:\ Program Files \ Wireshark \ editcap.exe” -d“ File.pcapng”“ File_nodup.pcapng”
回声。
回声。
回声3.将File.pcapng和File_nodup.pcapng转换为pcap格式
回声(使NetworkMiner免费阅读,忘了提及此步骤...)
回声。
“ c:\ Program Files \ Wireshark \ editcap.exe” -F pcap“ File.pcapng”“ File.pcap”
回声。
“ c:\ Program Files \ Wireshark \ editcap.exe” -F pcap“ File_nodup.pcapng”“ File_nodup.pcap”
回声。
回音完成。
暂停
...... >>
结果:
<< ......
Editcap(Wireshark)2.6.6(v2.6.6-0-gdf942cd8)
版权所有1998-2019 Gerald Combs和贡献者。 许可证GPLv2 +:GNU GPL版本2或更高版本http://www.gnu.org/licenses/old-licenses/gpl-2.0.html 这是免费软件;请参阅复制条件的来源。没有 保证;甚至不是出于适销性或针对特定目的的适用性。
使用GLib 2.42.0和zlib 1.2.11编译(64位)。
在64位Windows 10(内部版本17763)上运行,使用Intel(R)Core(TM)i7-4770 CPU @ 3.40GHz(具有SSE4.2),具有7841 MB的物理内存,具有语言环境C,二进制 支持的插件(已加载1个)。
使用Microsoft Visual Studio 2017(VC ++ 14.12,内部版本25835)构建。
看到13625734个数据包,跳过了6814005个数据包,重复窗口为5个数据包。
完成。
...... >>
新批次:
@echo off
回声。
回声。
回声1.将File.pcapng转换为pcap格式
“ c:\ Program Files \ Wireshark \ editcap.exe” -F pcap“ File.pcapng”“ File.pcap”
回声。
回声。
echo 2.从File.pcap中删除重复的数据包(需要使用参数“ -F pcap”,以避免将输出转换为pcapng ...)
“ c:\ Program Files \ Wireshark \ editcap.exe” -d -F pcap“ File.pcap”“ File_nodup.pcap”
回声。
回音完成。