Comment puis-je différencier deux vidages réseau de tcpdump ou Wireshark?

10

J'ai un problème avec l'un des ordinateurs embarqués de nos clients. Ils semblent rejeter certains paquets réseau qu'ils ne devraient pas. Je peux capturer la communication TCP à partir d'un commutateur géré en dehors de la boîte en utilisant Wireshark et je peux probablement aussi réussir à capturer toutes les données de l'intérieur en utilisant tcpdump. Je pouvais charger les deux décharges dans Wireshark et les comparer moi-même. Mais existe-t-il un moyen plus simple de ne voir que les différences entre deux de ces fichiers de vidage?

ygoe
la source

Réponses:

1

Je ne me souviens pas si je l'ai utilisé ou non, mais je pense que TPCAT peut faire ce que vous recherchez.

Capture d'écran de TPCAT

Gaffe
la source
Celui-là ne fonctionne pas. Ou du moins, je ne sais pas comment l'utiliser. Il indique qu'aucun paquet unique ne correspondrait.
ygoe
Je pense que c'est basé sur pcapdiff - est-ce que cela fait l'affaire? eff.org/testyourisp/pcapdiff
Gaff
Il me semble l'avoir utilisé dans le mauvais sens. Maintenant, je reçois le message que les deux captures correspondent. J'ai juste besoin de trouver un moyen de supprimer des paquets uniques au milieu de la capture pour le tester. Mais ça a l'air bien (d'un point de vue fonctionnel, pas stylistique ...), merci!
ygoe
Oui, il est rare de tomber sur un outil réseau à la fois très fonctionnel et très beau. :) Heureux que cela ait aidé.
Gaff
0

Ouvrez les deux fichiers avec vimdiff en mode hexadécimal:

$ vimdiff file1.pcap file2.pcap

Une fois dans vim, passez chaque fenêtre en mode hexadécimal:

:%!xxd

entrez la description de l'image ici

Diego Pino
la source