Как я могу различить два сетевых дампов из tcpdump или Wireshark?

9891
ygoe

У меня проблема с одним из встроенных компьютеров наших клиентов. Кажется, они отбрасывают некоторые сетевые пакеты, которые не должны. Я могу перехватить связь по TCP с управляемого коммутатора вне коробки, используя Wireshark, и мне, вероятно, также удастся перехватить все данные изнутри с помощью tcpdump. Я мог бы загрузить обе свалки в Wireshark и сравнить их сам. Но есть ли более простой способ увидеть различия только между двумя такими файлами дампа?

10

2 ответа на вопрос

1
3498DB

Я не могу вспомнить, использовал ли я это или нет, но я думаю, что TPCAT может сделать то, что вы после.

TPCAT screenshot

Это не работает. Или, по крайней мере, я не могу понять, как его использовать. Он говорит, что ни один пакет не будет соответствовать. ygoe 13 лет назад 0
Я думаю, что это основано на pcapdiff - это делает работу? https://www.eff.org/testyourisp/pcapdiff/ 3498DB 13 лет назад 0
Я, кажется, использовал это неправильно. Теперь я получаю сообщение, что оба захвата совпадают. Мне просто нужно найти способ отбросить отдельные пакеты в середине захвата, чтобы проверить его. Но выглядит хорошо (с функциональной точки зрения, а не стилистически ...), спасибо! ygoe 13 лет назад 0
Да, редко можно встретить сетевой инструмент, который очень функциональный и очень красивый. :) Рад, что это помогло, хотя. 3498DB 13 лет назад 0
0
Diego Pino

Open both files with vimdiff in hexadecimal mode:

$ vimdiff file1.pcap file2.pcap

Once in vim, switch each window to hexadecimal mode:

:%!xxd

enter image description here

Похожие вопросы