Estou obtendo os mesmos dados (pacotes UDP) de duas fontes diferentes (em 2 NICs diferentes). Eu gostaria de descobrir se uma fonte é "mais rápida" do que a outra, comparando os timestamps de recepção por pacotes.
para fazer isso, planejo espionar as duas interfaces ao mesmo tempo, reconciliar os pacotes e comparar os timestamps de acordo.
No entanto, estou tendo problemas com a saída do snoop: para reconciliar cada pacote corretamente, eu precisaria ter "uma linha" de dados por pacote, mas as diferentes opções de bisel que encontrei não estão me dando isso. o mais próximo que eu pude encontrar é "snoop -x 0" que será exibido tanto em hexadecimal quanto em ascii, mas eu não preciso de hexa, e eu preciso do ascii em uma única linha ...
alguma ideia de como conseguir isso?
Diga ao snoop para gravar os pacotes em um arquivo (-o file) e carregá-lo com o Wireshark.
Se você for farejar por um longo período de tempo e não estiver interessado no conteúdo real dos pacotes, diga ao snoop para limitá-lo aos primeiros X bytes para que você apenas grave os cabeçalhos (eg. -s 120).
O Wireshark permite capturar pacotes de várias interfaces, então você pode usá-lo em primeiro lugar, se instalado em seu servidor. Se você quiser analisar e mesclar as capturas existentes, também é possível consolidá-las conforme explicado aqui: link