Fusionar Archivos de Captura en Wireshark

Algunas veces se necesita fusionar varios archivos conteniendo capturas en un solo archivo. Por ejemplo, esto puede ser muy útil cuando ya se han realizado capturas simultáneas desde varias interfaces de red al mismo tiempo (por ejemplo utilizando varias instancias de Wireshark).

Existen tres maneras de fusionar archivos utilizando Wireshark:

Utilizar el menú “File -> Merge ” o “Archivo -> Fusionar”. Este ítem del menú estará deshabilitado a menos se haya cargado un archivo de captura.

Utilizar “drag-and-drop” o “arrastrar y soltar”, para gestionar varios archivos en la ventana principal. Wireshark intentará fusionar los paquetes en orden cronológico desde los archivos gestionados, en un nuevo archivo temporal creado. Si se arrastra y suelta un solo archivo, reemplazará simplemente a la captura existente.

Utilizar la herramienta de nombre mergecap, una herramienta en línea de comando para fusionar archivos. Esta herramienta proporciona la mayoría de opciones para fusionar archivos.

La opción “Fusionar con un Archivo de Captura”

Esta opción permite seleccionar un archivo para ser fusionado en el archivo actualmente cargado. Si los datos actuales no han sido guardados, se consultará para primero guardarlo.

Muchos de los controles de esta opción funcionarán de la misma manera a las descritas en la opción “Abrir Archivo de Captura”.

Los controles específicos para esta opción de fusión son:

Añadir al inicio paquetes hacia un archivo existente. Añade los paquetes desde un archivo seleccionado hacia los paquetes actualmente cargados.

Fusionar paquetes cronológicamente. Añade los paquetes desde un archivo seleccionado después de los paquetes actualmente cargados.

Añade al final paquetes hacia un archivo existente. Añade los paquetes desde el archivo seleccionado después de los paquetes actualmente cargados.

Fuente:

https://www.wireshark.org/docs/wsug_html_chunked/ChIOMergeSection.html
https://www.wireshark.org/docs/wsug_html_chunked/ChIOMergeSection.html#C...
https://www.wireshark.org/docs/wsug_html_chunked/AppToolsmergecap.html
https://www.wireshark.org/docs/wsug_html_chunked/ChIOOpenSection.html#Ch...
https://www.wireshark.org/docs/man-pages/mergecap.html

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Correo Electrónico: ReYDeS@gmail.com
Twitter: @Alonso_ReYDeS
LinkedIn: pe.linkedin.com/in/alonsocaballeroquezada
Facebook: https://www.facebook.com/alonsoreydes
Resumen de mi CV: http://www.reydes.com/d/?q=node/1