Różnica między narzędziami sniffera

Nie jestem pewien, co robią następujące narzędzia sieciowe. Wszystkie wydają się robić podobne rzeczy.

Najpierw jakieś tło. Znam system Cisco IOS. Robię eksperymenty z sieciami Linux na maszynach wirtualnych, więc próbuję stworzyć małą wirtualną sieć. Zacząłem grać z interfejsami wirtualnymi (tun / tap, loop br itp.) I chciałbym móc badać ruch przechodzący przez nie w celu debugowania.

Nie jestem pewien, jakiego narzędzia użyć. Znam następujące:

1. tshark (wireshark)
2. śmietnik
3. tcpdump
4. ettercap

Myślę, że tshark / wireshark używa zrzutu pod spodem. ettercap wydaje się być narzędziem ataku typu man-in-the-middle. Którego narzędzia (inne niewymienione na liście w zestawie) użyłbyś do debugowania interfejsu?

• wireshark - potężny sniffer, który może dekodować wiele protokołów, wiele filtrów.

• tshark - wersja wireshark z linii poleceń

• dumpcap (część wireshark) - może przechwytywać tylko ruch i może być używany przez wireshark / tshark

• tcpdump - ograniczone dekodowanie protokołu, ale dostępne na większości platform * NIX

• ettercap - służy do wstrzykiwania ruchu, a nie wąchania

Wszystkie narzędzia używają libpcap (w Windows Winpcap) do wąchania. Wireshark / tshark / dumpcap może wykorzystywać składnię filtra tcpdump jako filtr przechwytywania.

Ponieważ tcpdump jest dostępny w większości systemów * NIX, zwykle używam tcpdump. W zależności od problemu czasami używam tcpdump do przechwytywania ruchu i zapisywania go do pliku, a następnie do analizy go używam wireshark. Jeśli jest dostępny, używam tshark, ale jeśli problem się komplikuje, nadal lubię zapisywać dane do pliku, a następnie używać Wireshark do analizy.

Co rozumiesz przez „debugowanie interfejsu”?

Wireshark & ​​Co. nie pomoże rozwiązać problemu z interfejsem, ale pomoże rozwiązać problem z połączeniem / ruchem / protokołem / ładunkiem.

Jeśli chcesz rozwiązać ten problem, najlepszym sposobem jest, aby komputer nie zaangażowany w ruch, który chcesz rozwiązać, był podłączony do tego samego przełącznika Cisco i rozciągać się na port, który chcesz przechwycić w kierunku tego komputera / laptopa (zwróć uwagę na to, że łącze jest bardzo wykorzystywane może powodować spadki pakietów na laptopie / komputerze z kartami niższej klasy, jeśli używany jest Gig-Ethernet

np .: (pochodzi z 3750 z 12.2.x)

monitor session 1 source interface Gi1/0/10 both
monitor session 1 destination interface Gi1/0/11 encapsulation replicate

Istnieje wiele innych opcji, wszystko znajduje się w dokumentacji Twojej platformy i wersji IOS

Zauważ, że niektóre platformy (te z IOS-XE, przynajmniej 6509 i być może inne) mają zintegrowane sniffery (w rzeczywistości wersja Wireshark). Rzeczywiste możliwości różnią się w zależności od wersji, ale udało mi się przechwycić ruch w buforze okrągłym 8 MB i zaimportować go bez problemów do pełnej wersji Wireshark)