Разница между инструментами сниффера
Я не уверен, что делают следующие сетевые инструменты. Кажется, все они делают подобное.
Сначала немного фона. Я знаком с Cisco IOS. Я делаю некоторые эксперименты в сети Linux с виртуальными машинами, поэтому я пытаюсь создать небольшую виртуальную сеть. Я начал играть с виртуальными интерфейсами (tun /tap, loop br и т. Д.), И я хотел бы изучить трафик, проходящий через них для целей отладки.
Я немного не знаю, какой инструмент использовать. Я знаю следующее:
- tshark (wirehark)
- dumpcap
- ТСРйитр
- Ettercap
Я думаю, что tshark /wireshark использует dumpcap внизу. ettercap, похоже, является инструментом атаки «человек в середине». Какой инструмент (другие, не включенные в список) включены ли вы для отладки интерфейса?
2 ответа
-
wireshark - мощный сниффер, который может декодировать множество протоколов, множество фильтров.
-
tshark - версия командной строки wirehark
-
dumpcap (часть проводов) - может захватывать только трафик и может использоваться wirehark /tshark
-
tcpdump - ограниченное декодирование протокола, но доступно на большинстве платформ NIX
-
ettercap - используется для ввода трафика, не обнюхивающего
Все инструменты используют libpcap (на windows winpcap) для обнюхивания. Wireshark /tshark /dumpcap может использовать синтаксис фильтра tcpdump в качестве фильтра захвата.
Поскольку tcpdump доступен в большинстве систем * NIX, я обычно использую tcpdump. В зависимости от проблемы я иногда использую tcpdump для захвата трафика и записи его в файл, а затем позже используйте wirehark для его анализа. Если доступно, я использую tshark, но если проблема усложняется, мне все равно нравится записывать данные в файл, а затем использовать Wireshark для анализа.
Что вы подразумеваете под словом «debug a interface»?
Wireshark & amp; Co. не поможет устранить проблему с интерфейсом, но поможет вам устранить проблему с подключением /трафиком /протоколом /полезной нагрузкой.
Если вы хотите устранить эту проблему, лучший способ - не использовать ПК, который не задействован в трафике, который вы хотите устранить, связанный с тем же коммутатором Cisco, и охватить порт, который вы хотите захватить, к этому ПК /ноутбуку (обратите внимание, что очень высоко используемая связь может привести к падению пакетов на ноутбуке /ПК с младшими картами, если используется Gig-Ethernet)
ex: (взято из 3750, выполняющего 12.2.x)
мониторинг сеанса 1 интерфейс источника Gi1 /0/10 оба
мониторинг сеанса 1 интерфейс назначения Gi1 /0/11 инкапсуляция
Есть много других вариантов, все в документации для вашей платформы & Версия IOS
Обратите внимание, что на какой-либо платформе (те, на которых запущены IOS-XE, по крайней мере около 6509 и, возможно, другие), есть интегрированные снифферы (на самом деле версия Wireshark). Фактическая возможность варьируется от версии к версии, но я смог захватить трафик в кольцевом буфере объемом 8 МБ и без проблем импортировать его в полноценный Wireshark)