Tengo un problema con una de las computadoras integradas de nuestros clientes. Parece que descartan algunos paquetes de red que no deberían. Puedo capturar la comunicación TCP desde un switch administrado fuera de la caja con Wireshark y probablemente también pueda capturar todos los datos desde dentro usando tcpdump. Podría cargar ambos volcados en Wireshark y compararlos yo mismo. Pero, ¿hay una manera más fácil de ver las diferencias entre dos archivos de volcado?
¿Cómo puedo diferenciar dos volcados de red desde tcpdump o Wireshark?
Respuestas:
No recuerdo si lo he usado o no, pero creo TPCAT puede hacer lo que buscas
Ese no funciona. O al menos no puedo averiguar cómo usarlo. Dice que ningún paquete individual coincidiría.
—
ygoe
Creo que está basado en pcapdiff, ¿esto hace el trabajo? eff.org/testyourisp/pcapdiff
—
3498DB
Parece que lo he usado de la manera incorrecta. Ahora recibo el mensaje de que ambas capturas coinciden. Solo necesito encontrar una forma de soltar paquetes individuales en medio de la captura para probarlo. Pero se ve bien (desde una perspectiva funcional, no estilística ...), ¡gracias!
—
ygoe
Sí, es raro encontrar una herramienta de red que sea a la vez muy funcional y muy hermosa. :) Me alegro de que haya ayudado.
—
3498DB
Abra ambos archivos con vimdiff en modo hexadecimal:
$ vimdiff file1.pcap file2.pcap
Una vez en vim, cambia cada ventana al modo hexadecimal:
:%!xxd
