如何从tcpdump或Wireshark中区分出两个网络转储?

10

我的客户的嵌入式计算机出了问题。他们似乎丢弃了一些他们不应该丢弃的网络数据包。我可以使用Wireshark从框外的托管交换机捕获TCP通信,我也可以设法使用tcpdump从内部捕获所有数据。我可以将两个转储加载到Wireshark并自己比较它们。但有没有更简单的方法来只看到两个这样的转储文件之间的差异?

diff  wireshark  tcpdump 
ygoe
source

Answers:

1

我不记得我是否使用过它,但我认为TPCAT可以做你想做的事情。

TPCAT截图

加夫
source
那个不起作用。或者至少我无法弄清楚如何使用它。它说没有单个数据包匹配。
ygoe 2011年
我认为这是基于pcapdiff - 这是否能完成这项工作?eff.org/testyourisp/pcapdiff
Gaff
我好像用错了方法。现在我得到两个捕获匹配的消息。我只需要找到一种方法在捕获过程中丢弃单个数据包来测试它。但它看起来不错(从功能角度来看,不是风格......),谢谢!
ygoe 2011年
是的,很少遇到一个非常实用且非常漂亮的网络工具。:)很高兴它虽然有所帮助。
加夫
0

在十六进制模式下使用vimdiff打开两个文件:

$ vimdiff file1.pcap file2.pcap

进入vim后,将每个窗口切换为十六进制模式:

:%!xxd

在此输入图像描述

迭戈皮诺
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.