Różnica między narzędziami sniffera

24

Nie jestem pewien, co robią następujące narzędzia sieciowe. Wszystkie wydają się robić podobne rzeczy.

Najpierw jakieś tło. Znam system Cisco IOS. Robię eksperymenty z sieciami Linux na maszynach wirtualnych, więc próbuję stworzyć małą wirtualną sieć. Zacząłem grać z interfejsami wirtualnymi (tun / tap, loop br itp.) I chciałbym móc badać ruch przechodzący przez nie w celu debugowania.

Nie jestem pewien, jakiego narzędzia użyć. Znam następujące:

  1. tshark (wireshark)
  2. śmietnik
  3. tcpdump
  4. ettercap

Myślę, że tshark / wireshark używa zrzutu pod spodem. ettercap wydaje się być narzędziem ataku typu man-in-the-middle. Którego narzędzia (inne niewymienione na liście w zestawie) użyłbyś do debugowania interfejsu?

wireshark  linux  pcap 
s5s
źródło

Odpowiedzi:

31

  • wireshark - potężny sniffer, który może dekodować wiele protokołów, wiele filtrów.

  • tshark - wersja wireshark z linii poleceń

  • dumpcap (część wireshark) - może przechwytywać tylko ruch i może być używany przez wireshark / tshark

  • tcpdump - ograniczone dekodowanie protokołu, ale dostępne na większości platform * NIX

  • ettercap - służy do wstrzykiwania ruchu, a nie wąchania

Wszystkie narzędzia używają libpcap (w Windows Winpcap) do wąchania. Wireshark / tshark / dumpcap może wykorzystywać składnię filtra tcpdump jako filtr przechwytywania.

Ponieważ tcpdump jest dostępny w większości systemów * NIX, zwykle używam tcpdump. W zależności od problemu czasami używam tcpdump do przechwytywania ruchu i zapisywania go do pliku, a następnie do analizy go używam wireshark. Jeśli jest dostępny, używam tshark, ale jeśli problem się komplikuje, nadal lubię zapisywać dane do pliku, a następnie używać Wireshark do analizy.

Jens Link
źródło
2

Co rozumiesz przez „debugowanie interfejsu”?

Wireshark & ​​Co. nie pomoże rozwiązać problemu z interfejsem, ale pomoże rozwiązać problem z połączeniem / ruchem / protokołem / ładunkiem.

Jeśli chcesz rozwiązać ten problem, najlepszym sposobem jest, aby komputer nie zaangażowany w ruch, który chcesz rozwiązać, był podłączony do tego samego przełącznika Cisco i rozciągać się na port, który chcesz przechwycić w kierunku tego komputera / laptopa (zwróć uwagę na to, że łącze jest bardzo wykorzystywane może powodować spadki pakietów na laptopie / komputerze z kartami niższej klasy, jeśli używany jest Gig-Ethernet

np .: (pochodzi z 3750 z 12.2.x)

monitor session 1 source interface Gi1/0/10 both
monitor session 1 destination interface Gi1/0/11 encapsulation replicate

Istnieje wiele innych opcji, wszystko znajduje się w dokumentacji Twojej platformy i wersji IOS

Zauważ, że niektóre platformy (te z IOS-XE, przynajmniej 6509 i być może inne) mają zintegrowane sniffery (w rzeczywistości wersja Wireshark). Rzeczywiste możliwości różnią się w zależności od wersji, ale udało mi się przechwycić ruch w buforze okrągłym 8 MB i zaimportować go bez problemów do pełnej wersji Wireshark)

Remi Letourneau
źródło
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.