Как я могу различить два сетевых дампов из tcpdump или Wireshark?

10

У меня проблема с одним из встроенных компьютеров наших клиентов. Кажется, они отбрасывают некоторые сетевые пакеты, которые не должны. Я могу перехватить связь по TCP с управляемого коммутатора вне коробки, используя Wireshark, и мне, вероятно, также удастся перехватить все данные изнутри с помощью tcpdump. Я мог бы загрузить обе свалки в Wireshark и сравнить их сам. Но есть ли более простой способ увидеть различия только между двумя такими файлами дампа?

ygoe
источник

Ответы:

1

Я не могу вспомнить, использовал ли я это или нет, но я думаю, что TPCAT может сделать то, что вы после.

Скриншот TPCAT

багор
источник
Это не работает. Или, по крайней мере, я не могу понять, как его использовать. Он говорит, что ни один пакет не будет соответствовать.
ygoe
Я думаю, что это основано на pcapdiff - это делает работу? eff.org/testyourisp/pcapdiff
Gaff
Кажется, я использовал это неправильно. Теперь я получаю сообщение, что оба захвата совпадают. Мне просто нужно найти способ отбросить отдельные пакеты в середине захвата, чтобы проверить его. Но выглядит хорошо (с функциональной точки зрения, а не стилистически ...), спасибо!
ygoe
Да, редко можно встретить сетевой инструмент, который очень функциональный и очень красивый. :) Рад, что это помогло, хотя.
Gaff
0

Откройте оба файла с помощью vimdiff в шестнадцатеричном режиме:

$ vimdiff file1.pcap file2.pcap

В vim переключите каждое окно в шестнадцатеричный режим:

:%!xxd

введите описание изображения здесь

Диего Пино
источник