スヌープ出力：読み取り可能なパケットデータを1行に表示する方法は？

Question

2つの異なるソース（2つの異なるNIC）から同じデータ（UDPパケット）を取得しています。受信タイムスタンプをパケットごとに比較して、一方のソースがもう一方のソースよりも「速い」かどうかを確認したいと思います。

そのために、両方のインターフェイスを同時にスヌープし、パケットを調整し、それに応じてタイムスタンプを比較する予定です。

ただし、スヌープの出力に問題があります。各パケットを適切に調整するには、パケットごとに「1行」のデータが必要ですが、見つけたさまざまなスヌープオプションではそれができません。私が見つけた最も近いものは、16進数とASCIIの両方で表示される「snoop-x 0」ですが、16進数は必要なく、1行にASCIIが必要です...

これを達成する方法についてのアイデアはありますか？

jlliagre · Answer

Wiresharkを使用すると、複数のインターフェイスからパケットをキャプチャできるため、サーバーにインストールされている場合は、最初に使用することができます。既存のキャプチャを分析してマージする場合は、ここで説明するようにそれらを統合することもできます： http://www.wireshark.org/docs/wsug_html_chunked/ChIOMergeSection.html

Giovanni Tirloni · Answer

パケットをファイル（-oファイル）に書き込み、Wiresharkでロードするようにsnoopに指示します。

長期間スニッフィングする予定で、パケットの実際の内容に関心がない場合は、ヘッダーのみを記録するように、最初のXバイトに制限するようにsnoopに指示します（例：-s120）。