Разница между инструментами сниффера

Я не уверен, что делают следующие сетевые инструменты. Кажется, все они делают подобное.

Сначала немного фона. Я знаком с Cisco IOS. Я делаю некоторые эксперименты в сети Linux с виртуальными машинами, поэтому я пытаюсь создать небольшую виртуальную сеть. Я начал играть с виртуальными интерфейсами (tun /tap, loop br и т. Д.), И я хотел бы изучить трафик, проходящий через них для целей отладки.

Я немного не знаю, какой инструмент использовать. Я знаю следующее:

  1. tshark (wirehark)
  2. dumpcap
  3. ТСРйитр
  4. Ettercap

Я думаю, что tshark /wireshark использует dumpcap внизу. ettercap, похоже, является инструментом атаки «человек в середине». Какой инструмент (другие, не включенные в список) включены ли вы для отладки интерфейса?

21 голос | спросил s5s 23 J000000Wednesday14 2014, 20:01:53

2 ответа


29
  • wireshark - мощный сниффер, который может декодировать множество протоколов, множество фильтров.

  • tshark - версия командной строки wirehark

  • dumpcap (часть проводов) - может захватывать только трафик и может использоваться wirehark /tshark

  • tcpdump - ограниченное декодирование протокола, но доступно на большинстве платформ NIX

  • ettercap - используется для ввода трафика, не обнюхивающего

Все инструменты используют libpcap (на windows winpcap) для обнюхивания. Wireshark /tshark /dumpcap может использовать синтаксис фильтра tcpdump в качестве фильтра захвата.

Поскольку tcpdump доступен в большинстве систем * NIX, я обычно использую tcpdump. В зависимости от проблемы я иногда использую tcpdump для захвата трафика и записи его в файл, а затем позже используйте wirehark для его анализа. Если доступно, я использую tshark, но если проблема усложняется, мне все равно нравится записывать данные в файл, а затем использовать Wireshark для анализа.

ответил Jens Link 23 J000000Wednesday14 2014, 20:35:20
1

Что вы подразумеваете под словом «debug a interface»?

Wireshark & ​​amp; Co. не поможет устранить проблему с интерфейсом, но поможет вам устранить проблему с подключением /трафиком /протоколом /полезной нагрузкой.

Если вы хотите устранить эту проблему, лучший способ - не использовать ПК, который не задействован в трафике, который вы хотите устранить, связанный с тем же коммутатором Cisco, и охватить порт, который вы хотите захватить, к этому ПК /ноутбуку (обратите внимание, что очень высоко используемая связь может привести к падению пакетов на ноутбуке /ПК с младшими картами, если используется Gig-Ethernet)

ex: (взято из 3750, выполняющего 12.2.x)

мониторинг сеанса 1 интерфейс источника Gi1 /0/10 оба
мониторинг сеанса 1 интерфейс назначения Gi1 /0/11 инкапсуляция

Есть много других вариантов, все в документации для вашей платформы & Версия IOS

Обратите внимание, что на какой-либо платформе (те, на которых запущены IOS-XE, по крайней мере около 6509 и, возможно, другие), есть интегрированные снифферы (на самом деле версия Wireshark). Фактическая возможность варьируется от версии к версии, но я смог захватить трафик в кольцевом буфере объемом 8 МБ и без проблем импортировать его в полноценный Wireshark)

ответил Remi Letourneau 23 J000000Wednesday14 2014, 22:32:38

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132