Это можно сделать с помощью joincap.
go get -u github.com/assafmo/joincap
Чтобы объединить 1.pcap и 2.pcap:
joincap 1.pcap 2.pcap > merged.pcap
Я написал joincap чтобы преодолеть то, что я считаю плохой обработкой ошибок с помощью mergecap и tcpslice .
Для получения более подробной информации перейдите по ссылке https://github.com/assafmo/joincap .
Я предполагаю, что разница во времени между кадрами 4873 и 4874 заключается в том, что эти пакеты были из разных файлов.
Я бы предложил использовать mergecap для объединения двух файлов PCAP, а не просто объединять (добавлять) их, как вы. По умолчанию Mergecap объединяет пакеты в соответствии с отметкой времени (использование параметра -a в mergecap приведет к созданию объединенного файла, такого как ваш).
Другой вариант - загрузить два файла захвата в CapLoader, выбрать все потоки и экспортировать их в новый файл PCAP (с помощью перетаскивания из значка PCAP).
Наконец, если вы действительно хотите объединить / добавить и НЕ иметь пакеты в хронологическом порядке, то вам просто нужно щелкнуть правой кнопкой мыши пакет с наименьшей временной меткой (например, кадр 4874) и выбрать "Установить эталон времени". Таким образом, все метки времени будут показаны относительно этого пакета в Wireshark.