Como posso diferenciar dois dumps de rede do tcpdump ou Wireshark?


10

Estou tendo um problema com um dos computadores incorporados de nossos clientes. Eles parecem descartar alguns pacotes de rede que não deveriam. Posso capturar a comunicação TCP de um switch gerenciado fora da caixa usando o Wireshark e provavelmente também consigo capturar todos os dados de dentro usando o tcpdump. Eu poderia carregar os dois despejos no Wireshark e compará-los eu mesmo. Mas existe uma maneira mais fácil de ver apenas as diferenças entre dois desses arquivos de despejo?

Respostas:


1

Não me lembro se o usei ou não, mas acho que o TPCAT pode fazer o que você procura .

Captura de tela do TPCAT


Aquele não funciona. Ou pelo menos não consigo descobrir como usá-lo. Diz que nenhum pacote único corresponderia.
ygoe

Eu acho que é baseado em pcapdiff - isso faz o trabalho? ef.org/testyourisp/pcapdiff
Gaff

Eu pareço ter usado da maneira errada. Agora recebo a mensagem de que as duas capturas correspondem. Eu só preciso encontrar uma maneira de descartar pacotes únicos no meio da captura para testá-lo. Mas parece bom (de uma perspectiva funcional, não estilística ...), obrigado!
ygoe

Sim, é raro encontrar uma ferramenta de rede muito funcional e muito bonita. :) Ainda bem que ajudou.
Gaff

0

Abra os dois arquivos com vimdiff no modo hexadecimal:

$ vimdiff file1.pcap file2.pcap

No vim, alterne cada janela para o modo hexadecimal:

:%!xxd

insira a descrição da imagem aqui

Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.