Jak mogę odróżnić dwa zrzuty sieciowe od tcpdump lub Wireshark?

10

Mam problem z jednym z wbudowanych komputerów naszych klientów. Wydają się odrzucać niektóre pakiety sieciowe, których nie powinny. Mogę przechwycić komunikację TCP z zarządzanego przełącznika poza urządzeniem za pomocą Wireshark i prawdopodobnie potrafię również przechwycić wszystkie dane z wnętrza za pomocą tcpdump. Mogę załadować oba zrzuty do Wiresharka i porównać je osobiście. Ale czy jest łatwiejszy sposób, aby zobaczyć różnice między dwoma takimi plikami zrzutu?

ygoe
źródło

Odpowiedzi:

1

Nie pamiętam, czy go użyłem, czy nie, ale myślę, że TPCAT może zrobić to, czego szukasz.

Zrzut ekranu TPCAT

Gafel
źródło
Ten nie działa. A przynajmniej nie mogę wymyślić, jak go używać. Mówi, że żaden pojedynczy pakiet nie pasuje.
ygoe
Myślę, że jest oparty na pcapdiff - czy to działa? eff.org/testyourisp/pcapdiff
Gaff
Wydaje mi się, że użyłem go w niewłaściwy sposób. Teraz dostaję wiadomość, że oba przechwytują pasują. Muszę tylko znaleźć sposób na upuszczenie pojedynczych pakietów w środku przechwytywania, aby je przetestować. Ale wygląda dobrze (z funkcjonalnego punktu widzenia, a nie ze stylistyki ...), dziękuję!
ygoe
Tak, rzadko spotyka się narzędzie sieciowe, które jest zarówno bardzo funkcjonalne, jak i bardzo piękne. :) Cieszę się, że to pomogło.
Gaff,
0

Otwórz oba pliki za pomocą vimdiff w trybie szesnastkowym:

$ vimdiff file1.pcap file2.pcap

Raz w vim, przełącz każde okno do trybu szesnastkowego:

:%!xxd

wprowadź opis zdjęcia tutaj

Diego Pino
źródło