¿Cómo puedo diferenciar dos volcados de red desde tcpdump o Wireshark?

10

Tengo un problema con una de las computadoras integradas de nuestros clientes. Parece que descartan algunos paquetes de red que no deberían. Puedo capturar la comunicación TCP desde un switch administrado fuera de la caja con Wireshark y probablemente también pueda capturar todos los datos desde dentro usando tcpdump. Podría cargar ambos volcados en Wireshark y compararlos yo mismo. Pero, ¿hay una manera más fácil de ver las diferencias entre dos archivos de volcado?

diff wireshark tcpdump ygoe
fuente

Respuestas:

1

No recuerdo si lo he usado o no, pero creo TPCAT puede hacer lo que buscas

TPCAT screenshot

3498DB
fuente
Ese no funciona. O al menos no puedo averiguar cómo usarlo. Dice que ningún paquete individual coincidiría.
ygoe
Creo que está basado en pcapdiff, ¿esto hace el trabajo? eff.org/testyourisp/pcapdiff
3498DB
Parece que lo he usado de la manera incorrecta. Ahora recibo el mensaje de que ambas capturas coinciden. Solo necesito encontrar una forma de soltar paquetes individuales en medio de la captura para probarlo. Pero se ve bien (desde una perspectiva funcional, no estilística ...), ¡gracias!
ygoe
Sí, es raro encontrar una herramienta de red que sea a la vez muy funcional y muy hermosa. :) Me alegro de que haya ayudado.
3498DB
0

Abra ambos archivos con vimdiff en modo hexadecimal: 

$ vimdiff file1.pcap file2.pcap

Una vez en vim, cambia cada ventana al modo hexadecimal: 

:%!xxd

enter image description here

Diego Pino
fuente