題 如何從tcpdump或Wireshark中區分出兩個網絡轉儲?


我的客戶的嵌入式計算機出了問題。他們似乎丟棄了一些他們不應該丟棄的網絡數據包。我可以使用Wireshark從框外的託管交換機捕獲TCP通信,我也可以設法使用tcpdump從內部捕獲所有數據。我可以將兩個轉儲加載到Wireshark中並自己進行比較。但有沒有更簡單的方法來只看到兩個這樣的轉儲文件之間的差異?


10
2018-04-01 12:04


起源




答案:


我不記得我是否使用過它,但我想 TPCAT 能做你想做的事。

TPCAT screenshot


1
2018-04-01 12:10



那個不起作用。或者至少我無法弄清楚如何使用它。它說沒有單個數據包匹配。 - ygoe
我認為這是基於pcapdiff - 這是否能完成這項工作? eff.org/testyourisp/pcapdiff - 3498DB
我好像用錯了方法。現在我得到兩個捕獲匹配的消息。我只需要找到一種方法在捕獲過程中丟棄單個數據包來測試它。但它看起來不錯(從功能角度來看,不是風格......),謝謝! - ygoe
是的,很少遇到一個非常實用且非常漂亮的網絡工具。 :)很高興它雖然有所幫助。 - 3498DB


在十六進制模式下使用vimdiff打開兩個文件:

$ vimdiff file1.pcap file2.pcap

進入vim後,將每個窗口切換為十六進制模式:

:%!xxd

enter image description here


0
2018-03-04 12:53