Wireshark merge files, hoe synchroniseren

Hoe weet je dat de tijd gelijk is op beide devices?

Ik denk dat je dat met een managed switch moet doen, met een SPAN port (Cisco term voor een port mirror) die zo is ingesteld dat je zowel heen en weer verkeer ziet.
Dan kun je in de capture zien of het verkeer wordt verstuurd en ontvangen.
Warom ik denk dat je dat zo moet doen? Ik kan me niet voorstellen, - en ik hoop dat van harte ook, dat er een PIN apparaat is waar je wireshark op kunt draaien.

Kabouterplop01 schreef op dinsdag 3 februari 2026 @ 21:46:
Ik kan me niet voorstellen, - en ik hoop dat van harte ook, dat er een PIN apparaat is waar je wireshark op kunt draaien.

Waarom niet? Je moet natuurlijk wel bereid zijn even je spelletje Doom af te breken.

Maar is je vraag nu hoe je twee pcaps kan mergen of is je vraag hoe je een capture kan maken van het verkeer bij het pin apparaat? Dat zijn namelijk twee heel verschillende dingen. Als je de capture van nabij het pin apparaat hebt lijkt me persoonlijk dat mergen niet echt van belang.

Span port / mirror zal inderdaad waarschijnlijk het eenvoudigst te realiseren zijn, er is ook dedicated hardware te koop die je er tussen kan zetten om een capture te maken.

Ik snap ook het nut niet van dat mergen. Ik zou ook gewoon er een switch tussenzetten met een poort mirror naar je laptop waar je dan Wireshark draait.

Eens. Oftewel SPAN poort oftewel op het kassa systeem direct sniffen. Overigens kan de leverancier van bijvoorbeeld het kassa systeem jou hier vast beter bij helpen(?)

Doet een ping het wel tussen beide apparaten? Dan kan je de conclusie maken dat de switch die er tussen zit niks geks doet en dus de MAC adressen van beide apparaten in de CAM tabel heeft. Kortom: je L2 werkt.

SYN / SYN-ACK is een transport mechaniek op L4. Sniffen doe je op L2.

Kortom met een lang verhaal kort: sniffen op 1 poort is meer dan voldoende mits een ping naar beide apparaten in het zelfde VLAN goed werkt. Vanuit daar kan je 1 van de 2 poorten pakken: beide is niet nodig. Mocht een apparaat niet reageren op een SYN-ACK moet je dat gaan zoeken op het apparaat zelf in bijvoorbeeld de applicatie stack en niet op een van de netwerk poorten.

Pff ik heb wel wat ervaring met pinapparaten in TCP/IP netwerken. Zij gedragen zich wat vreemd. Eigenschappen verschillen per fabrikant. Maar over het algemeen doen ze hun best op niet gevonden te worden, tenzij je ze echt aanspreekt. Sommige negeren zelfs ping.

Controleer op je Pin het IP-adres. Zorg er voor dat dit IP-adres dan ook juist in de kassa staat.
Verder moet je zorgen dat het netwerk ook moet zorgen dat de kassa en pin met elkaar kunnen verbinden.
Meestal zitten ze in het zelfde VLAN/Broadcast domein. Maar anders moet de router/firewall natuurlijk deze verbinding maken.

Als je zeker weet dat goed is, leverancier van je kassa/pin het na laten kijken.

Om echt antwoord te geven op je vraag: mergecap...
commandline zaken.
Zoek even m.b.v. je favoriete zoekmachine op mergecap.
je kunt dat volgens mij met zowel wireshark als tshark, in wireshark is het File >> Merge en is derhalve single threaded
en mergecap in de commandline multithreaded als ik me niet vergis

Ping versturen van het ene naar het andere apparaat, dan heb je een gezamelijk startpunt. Of NTP/PTP implementeren, dan hebben ze allemaal dezelfde tijd.

Ligt compleet aan het gebruikte protocol, bij TCP bestaat er een "
sequence number" waarbij het redelijk duidelijk is in welke volgorde het verzonden en/of beantwoord wordt. Hierbij maakt tijd niet uit, je hebt namelijk de sequence. Bij UDP is dit al anders hier bestaat dit systeem niet, als een packet verloren gaat.. Jammer dan volgende keer beter. Tijd synchroniseren is extreem lastig voor protocollen als UDP, wat je wel kan doen is 1 capture doen op 1 machine tegelijk maargoed dit vereist:
1: Een switch die een mirror kan doen van meerdere poorten > 1 poort.
2: Een capture starten vanaf 2 mirror(s)(ports) naar twee nics op 1 fysieke machine.

Jij hebt het over "SYN ACK" dus TCP. Hierbij is absolute synchronisatie niet nodig je kunt beide captures gewoon vergelijken op basis van het sequence number.
In jouw geval indien mogelijk adviseer ik optie 1, dit geeft meteen een overzicht (chronologisch) van de pakketten. Eis is wel dat beide devices natuurlijk op 1 switch (of intermediate switch) aangesloten kunnen worden met betreft fysieke locatie/patches.

Mogelijk is het handig om eerst duidelijk te maken hoe de zaken aangesloten zijn. In het hele verhaal lees ik nergens dat de kassa en pin automaat niet rechtstreeks op elkaar aangesloten zijn. Zit er een switch tussen, zijn het er 2 of is het zelfs wifi?