Wie kann ich zwei Netzwerk-Dumps von tcpdump oder Wireshark unterscheiden?

10

Ich habe ein Problem mit einem der eingebetteten Computer unserer Kunden. Sie scheinen einige Netzwerkpakete zu verwerfen, die sie nicht sollten. Ich kann die TCP-Kommunikation von einem verwalteten Switch außerhalb der Box mit Wireshark erfassen und wahrscheinlich auch mit tcpdump alle Daten von innen erfassen. Ich könnte beide Dumps in Wireshark laden und sie selbst vergleichen. Aber gibt es eine einfachere Möglichkeit, nur die Unterschiede zwischen zwei solchen Dump-Dateien zu erkennen?

diff wireshark tcpdump ygoe
quelle

Antworten:

1

Ich kann mich nicht erinnern, ob ich es benutzt habe oder nicht, aber ich denke, TPCAT kann das tun, wonach Sie suchen .

TPCAT-Screenshot

Gaff
quelle
Das funktioniert nicht. Zumindest kann ich nicht herausfinden, wie man es benutzt. Es heißt, kein einzelnes Paket würde übereinstimmen.
Ygoe
Ich denke, es basiert auf pcapdiff - macht das den Job? eff.org/testyourisp/pcapdiff
Gaff
Ich habe es anscheinend falsch benutzt. Jetzt erhalte ich die Nachricht, dass beide Aufnahmen übereinstimmen. Ich muss nur einen Weg finden, um einzelne Pakete mitten in der Erfassung zu verwerfen, um sie zu testen. Aber es sieht gut aus (aus funktionaler Sicht, nicht stilistisch ...), danke!
Ygoe
Ja, es kommt selten vor, dass ein Netzwerk-Tool sehr funktional und sehr schön ist. :) Ich bin froh, dass es geholfen hat.
Gaff
0

Öffnen Sie beide Dateien mit vimdiff im Hexadezimalmodus:

$ vimdiff file1.pcap file2.pcap

Schalten Sie in vim jedes Fenster in den hexadezimalen Modus:

:%!xxd

Geben Sie hier die Bildbeschreibung ein

Diego Pino
quelle