如何区分来自 tcpdump 或 Wireshark 的两个网络转储?

如何区分来自 tcpdump 或 Wireshark 的两个网络转储?

我遇到了我们一位客户的嵌入式计算机的问题。它们似乎丢弃了一些不应该丢弃的网络数据包。我可以使用 Wireshark 从机箱外的托管交换机捕获 TCP 通信,并且我可能还可以使用 tcpdump 从机箱内捕获所有数据。我可以将两个转储加载到 Wireshark 中并自己进行比较。但是有没有更简单的方法可以仅查看两个这样的转储文件之间的差异?

答案1

我不记得我是否用过它,但我认为TPCAT就能做你想做的事。

TPCAT 截图

答案2

使用 vimdiff 以十六进制模式打开两个文件:

$ vimdiff file1.pcap file2.pcap

进入 vim 后,将每个窗口切换为十六进制模式:

:%!xxd

在此处输入图片描述

相关内容