Wie kann ich zwei Netzwerk-Dumps von tcpdump oder Wireshark unterscheiden?


10

Ich habe ein Problem mit einem der eingebetteten Computer unserer Kunden. Sie scheinen einige Netzwerkpakete zu verwerfen, die sie nicht sollten. Ich kann die TCP-Kommunikation von einem verwalteten Switch außerhalb der Box mit Wireshark erfassen und wahrscheinlich auch mit tcpdump alle Daten von innen erfassen. Ich könnte beide Dumps in Wireshark laden und sie selbst vergleichen. Aber gibt es eine einfachere Möglichkeit, nur die Unterschiede zwischen zwei solchen Dump-Dateien zu erkennen?

Antworten:


1

Ich kann mich nicht erinnern, ob ich es benutzt habe oder nicht, aber ich denke, TPCAT kann das tun, wonach Sie suchen .

TPCAT-Screenshot


Das funktioniert nicht. Zumindest kann ich nicht herausfinden, wie man es benutzt. Es heißt, kein einzelnes Paket würde übereinstimmen.
Ygoe

Ich denke, es basiert auf pcapdiff - macht das den Job? eff.org/testyourisp/pcapdiff
Gaff

Ich habe es anscheinend falsch benutzt. Jetzt erhalte ich die Nachricht, dass beide Aufnahmen übereinstimmen. Ich muss nur einen Weg finden, um einzelne Pakete mitten in der Erfassung zu verwerfen, um sie zu testen. Aber es sieht gut aus (aus funktionaler Sicht, nicht stilistisch ...), danke!
Ygoe

Ja, es kommt selten vor, dass ein Netzwerk-Tool sehr funktional und sehr schön ist. :) Ich bin froh, dass es geholfen hat.
Gaff

0

Öffnen Sie beide Dateien mit vimdiff im Hexadezimalmodus:

$ vimdiff file1.pcap file2.pcap

Schalten Sie in vim jedes Fenster in den hexadezimalen Modus:

:%!xxd

Geben Sie hier die Bildbeschreibung ein

Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.