Как я могу различить два сетевых дампов из tcpdump или Wireshark?


10

У меня проблема с одним из встроенных компьютеров наших клиентов. Кажется, они отбрасывают некоторые сетевые пакеты, которые не должны. Я могу перехватить связь по TCP с управляемого коммутатора вне коробки, используя Wireshark, и мне, вероятно, также удастся перехватить все данные изнутри с помощью tcpdump. Я мог бы загрузить обе свалки в Wireshark и сравнить их сам. Но есть ли более простой способ увидеть различия только между двумя такими файлами дампа?

Ответы:


1

Я не могу вспомнить, использовал ли я это или нет, но я думаю, что TPCAT может сделать то, что вы после.

Скриншот TPCAT


Это не работает. Или, по крайней мере, я не могу понять, как его использовать. Он говорит, что ни один пакет не будет соответствовать.
ygoe

Я думаю, что это основано на pcapdiff - это делает работу? eff.org/testyourisp/pcapdiff
Gaff

Кажется, я использовал это неправильно. Теперь я получаю сообщение, что оба захвата совпадают. Мне просто нужно найти способ отбросить отдельные пакеты в середине захвата, чтобы проверить его. Но выглядит хорошо (с функциональной точки зрения, а не стилистически ...), спасибо!
ygoe

Да, редко можно встретить сетевой инструмент, который очень функциональный и очень красивый. :) Рад, что это помогло, хотя.
Gaff

0

Откройте оба файла с помощью vimdiff в шестнадцатеричном режиме:

$ vimdiff file1.pcap file2.pcap

В vim переключите каждое окно в шестнадцатеричный режим:

:%!xxd

введите описание изображения здесь

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.