Bagaimana saya bisa membedakan dua dump jaringan dari tcpdump atau Wireshark?

10

Saya mengalami masalah dengan salah satu komputer tertanam pelanggan kami. Mereka tampaknya membuang beberapa paket jaringan yang seharusnya tidak mereka miliki. Saya dapat menangkap komunikasi TCP dari sakelar yang dikelola di luar kotak menggunakan Wireshark dan saya mungkin dapat juga mengatur untuk menangkap semua data dari dalam menggunakan tcpdump. Saya bisa memuat kedua dump ke Wireshark dan membandingkannya sendiri. Tetapi apakah ada cara yang lebih mudah untuk hanya melihat perbedaan antara dua file dump tersebut?

ygoe
sumber

Jawaban:

1

Saya tidak ingat apakah saya sudah menggunakannya atau tidak, tetapi saya pikir TPCAT dapat melakukan apa yang Anda cari.

Tangkapan layar TPCAT

Taji
sumber
Yang itu tidak berhasil. Atau setidaknya saya tidak tahu cara menggunakannya. Dikatakan tidak ada paket tunggal yang cocok.
ygoe
Saya pikir ini didasarkan pada pcapdiff - apakah ini berfungsi? eff.org/testyourisp/pcapdiff
Gaff
Sepertinya saya salah menggunakannya. Sekarang saya mendapatkan pesan bahwa keduanya menangkap cocok. Saya hanya perlu menemukan cara untuk menjatuhkan paket tunggal di tengah tangkapan untuk mengujinya. Tapi kelihatannya bagus (dari perspektif fungsional, bukan gaya ...), terima kasih!
ygoe
Ya, jarang menemukan alat jaringan yang sangat fungsional dan sangat indah. :) Senang itu membantu.
Gaff
0

Buka kedua file dengan vimdiff dalam mode heksadesimal:

$ vimdiff file1.pcap file2.pcap

Begitu berada di vim, alihkan setiap jendela ke mode heksadesimal:

:%!xxd

masukkan deskripsi gambar di sini

Diego Pino
sumber