Como posso diferenciar dois dumps de rede do tcpdump ou Wireshark?

10

Estou tendo um problema com um dos computadores incorporados de nossos clientes. Eles parecem descartar alguns pacotes de rede que não deveriam. Posso capturar a comunicação TCP de um switch gerenciado fora da caixa usando o Wireshark e provavelmente também consigo capturar todos os dados de dentro usando o tcpdump. Eu poderia carregar os dois despejos no Wireshark e compará-los eu mesmo. Mas existe uma maneira mais fácil de ver apenas as diferenças entre dois desses arquivos de despejo?

diff wireshark tcpdump ygoe
fonte

Respostas:

1

Não me lembro se o usei ou não, mas acho que o TPCAT pode fazer o que você procura .

Captura de tela do TPCAT

Gaff
fonte
Aquele não funciona. Ou pelo menos não consigo descobrir como usá-lo. Diz que nenhum pacote único corresponderia.
ygoe
Eu acho que é baseado em pcapdiff - isso faz o trabalho? ef.org/testyourisp/pcapdiff
Gaff
Eu pareço ter usado da maneira errada. Agora recebo a mensagem de que as duas capturas correspondem. Eu só preciso encontrar uma maneira de descartar pacotes únicos no meio da captura para testá-lo. Mas parece bom (de uma perspectiva funcional, não estilística ...), obrigado!
ygoe
Sim, é raro encontrar uma ferramenta de rede muito funcional e muito bonita. :) Ainda bem que ajudou.
Gaff
0

Abra os dois arquivos com vimdiff no modo hexadecimal:

$ vimdiff file1.pcap file2.pcap

No vim, alterne cada janela para o modo hexadecimal:

:%!xxd

insira a descrição da imagem aqui

Diego Pino
fonte