Wie kann ich zwei Netzwerk-Dumps von tcpdump oder Wireshark unterscheiden?

10044
ygoe

Ich habe ein Problem mit einem eingebetteten Computer unserer Kunden. Sie scheinen einige Netzwerkpakete zu verwerfen, die sie nicht sollten. Ich kann die TCP-Kommunikation von einem verwalteten Switch außerhalb der Box mit Wireshark erfassen, und ich kann wahrscheinlich auch alle Daten von innen mit tcpdump erfassen. Ich könnte beide Dumps in Wireshark laden und sie selbst vergleichen. Aber gibt es eine einfachere Möglichkeit, nur die Unterschiede zwischen zwei solchen Dump-Dateien zu sehen?

10

2 Antworten auf die Frage

1
3498DB

Ich kann mich nicht erinnern, ob ich es benutzt habe oder nicht, aber ich denke, TPCAT kann das, was Sie wollen.

TPCAT screenshot

Das funktioniert nicht. Oder zumindest kann ich nicht herausfinden, wie ich damit umgehen soll. Es sagt, dass kein einzelnes Paket passen würde. ygoe vor 13 Jahren 0
Ich denke, es basiert auf pcapdiff - erledigt das den Job? https://www.eff.org/testyourisp/pcapdiff/ 3498DB vor 13 Jahren 0
Ich habe es scheinbar falsch benutzt. Jetzt erhalte ich die Nachricht, dass beide Captures übereinstimmen. Ich muss nur einen Weg finden, um einzelne Pakete mitten in der Capture abzulegen, um sie zu testen. Aber es sieht gut aus (funktionell, nicht stilistisch ...), danke! ygoe vor 13 Jahren 0
Ja, ein Netzwerktool ist selten zu finden, das sowohl funktional als auch sehr schön ist. :) Schön, dass es geholfen hat. 3498DB vor 13 Jahren 0
0
Diego Pino

Öffnen Sie beide Dateien mit vimdiff im Hexadezimalmodus:

$ vimdiff file1.pcap file2.pcap 

Wechseln Sie in vim jedes Fenster in den Hexadezimalmodus:

:%!xxd