pcap文件是常用的數據報存儲格式，可以理解為就是一種文件格式，只不過里面的數據是按照特定格式存儲的，所以我們想要解析里面的數據，也必須按照一定的格式。

Editcap 與 Mergecap

Wireshark，是最受歡迎的 GUI 嗅探工具，實際上它帶了一套非常有用的命令行工具集。其中包括 editcap 與 mergecap。editcap 是一個萬能的 pcap 編輯器，它可以過濾并且能以多種方式來分割 pcap 文件。mergecap 可以將多個 pcap 文件合并為一個。 這篇文章就是基于這些 Wireshark 命令行工具的。

如果你已經安裝過 Wireshark 了，那么這些工具已經在你的系統中了。如果還沒裝的話，那么我們接下來就安裝 Wireshark 命令行工具。 需要注意的是，在基于 Debian 的發行版上我們可以不用安裝 Wireshark GUI 而僅安裝命令行工具，但是在 Red Hat 及 基于它的發行版中則需要安裝整個 Wireshark 包。 Debian, Ubuntu 或 Linux Mint

$ sudo apt-get install wireshark-common

Fedora, CentOS 或 RHEL

$ sudo yum install wireshark

當安裝好工具后， 就可以開始使用 editca 與 mergecap 了。

pcap 文件過濾

通過 editcap， 我們能以很多不同的規則來過濾 pcap 文件中的內容，并且將過濾結果保存到新文件中。

首先，以“起止時間”來過濾 pcap 文件。 ” – A  和 ” – B  選項可以過濾出在這個時間段到達的數據包（如，從 2:30 ～ 2:35）。時間的格式為 “ YYYY-MM-DD HH:MM:SS”。

$ editcap -A '2014-12-10 10:11:01' -B '2014-12-10 10:21:01' input.pcap output.pcap

也可以從某個文件中提取指定的 N 個包。下面的命令行從 input.pcap 文件中提取100個包（從 401 到 500）并將它們保存到 output.pcap 中：

$ editcap input.pcap output.pcap 401-500

使用 “-D ” （dup-window可以看成是對比的窗口大小，僅與此范圍內的包進行對比）選項可以提取出重復包。每個包都依次與它之前的  -1 個包對比長度與MD5值，如果有匹配的則丟棄。

$ editcap -D 10 input.pcap output.pcap

也可以將  定義成時間間隔。使用”-w ”選項，對比 時間內到達的包。

$ editcap -w 0.5 input.pcap output.pcap

分割 pcap 文件

當需要將一個大的 pcap 文件分割成多個小文件時，editcap 也能起很大的作用。將一個 pcap 文件分割成數據包數目相同的多個文件

$ editcap -c (packets -per-[file]) (input -pcap-[file])(output -prefix)

輸出的每個文件有相同的包數量，以 -NNNN的形式命名。以時間間隔分割 pcap 文件

$ editcap -i (seconds -per-[file]) (input-pcap-[file]) (output-prefix)

合并 pcap 文件

如果想要將多個文件合并成一個，用 mergecap 就很方便。當合并多個文件時，mergecap 默認將內部的數據包以時間先后來排序。

$ mergecap -w output.pcap input.pcap input2.pcap [input3.pcap . . .]

如果要忽略時間戳，僅僅想以命令行中的順序來合并文件，那么使用 -a 選項即可。例如，下列命令會將 input.pcap 文件的內容寫入到 output.pcap, 并且將 input2.pcap 的內容追加在后面。

$ mergecap -a -w output.pcap input.pcap input2.pcap