¿Cómo puedo diferenciar dos volcados de red desde tcpdump o Wireshark?


10

Tengo un problema con una de las computadoras integradas de nuestros clientes. Parece que descartan algunos paquetes de red que no deberían. Puedo capturar la comunicación TCP desde un switch administrado fuera de la caja con Wireshark y probablemente también pueda capturar todos los datos desde dentro usando tcpdump. Podría cargar ambos volcados en Wireshark y compararlos yo mismo. Pero, ¿hay una manera más fácil de ver las diferencias entre dos archivos de volcado?

Respuestas:


1

No recuerdo si lo he usado o no, pero creo TPCAT puede hacer lo que buscas

TPCAT screenshot


Ese no funciona. O al menos no puedo averiguar cómo usarlo. Dice que ningún paquete individual coincidiría.
ygoe

Creo que está basado en pcapdiff, ¿esto hace el trabajo? eff.org/testyourisp/pcapdiff
3498DB

Parece que lo he usado de la manera incorrecta. Ahora recibo el mensaje de que ambas capturas coinciden. Solo necesito encontrar una forma de soltar paquetes individuales en medio de la captura para probarlo. Pero se ve bien (desde una perspectiva funcional, no estilística ...), ¡gracias!
ygoe

Sí, es raro encontrar una herramienta de red que sea a la vez muy funcional y muy hermosa. :) Me alegro de que haya ayudado.
3498DB

0

Abra ambos archivos con vimdiff en modo hexadecimal:

$ vimdiff file1.pcap file2.pcap

Una vez en vim, cambia cada ventana al modo hexadecimal:

:%!xxd

enter image description here

Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.