本文介绍如何使用Wireshark的follow TCP stream功能及tshark命令,将选定的TCP流导出为bin文件进行字节级对比。尽管导出过程中存在ASCII格式的换行符干扰,但通过合理比较,仍能有效验证数据一致性。
在wireshark中follow tcp stream之后,选择export speified packets导出该stream的全部包到文件。
导出文件配置出下图:
然后用下面的命令导出stream的字节流:
tshark -r t1.pcap -Y usb -z follow,tcp,raw,0 > t1.bin
tshark位于wireshark的安装目录中。
然后就可以用beyond compare的16进制方式比较两边的bin文件
字节有零散出现的0d 0a,这是因为tshark导出的是ascii方式的hex stream,伴随大量换行,不影响比较结果,忽略即可。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
