在研究网络流量分析的时候,wireshark默认采用pcap格式。对于用Endace DAG捕捉卡捕获的数据包,一般来说,都是erf格式的。一般来说,此种格式包含了更多了链路层信息。而我们采用wireshark其中的一个组件editcap,可以将erf格式转换成为pcap格式:
editcap.exe -F pcap -T ether erf-ethernet-example.erf erf-ethernet-example.pcap
这条命令是在Windows下的cmd中执行的,首先进入editcap的目录:
dir之后会有editcap.exe文件,见下图,接着输入上述命令:
如果不报错,则说明格式转换好了。
下面说明一下各个参数的意思:
1.-F:需要输出的格式类型,我们这里需要的是pcap格式。
2.-T:包装类型,我们这里需要的是链路层的格式,即ether。
3.后面两个参数,就是需要转换的源文件和目的文件。