Differenza tra strumenti sniffer

Non sono sicuro di cosa facciano i seguenti strumenti di rete. Sembrano tutti fare una cosa simile.

Prima alcuni retroscena. Conosco Cisco IOS. Sto facendo qualche sperimentazione di rete linux con macchine virtuali, quindi sto cercando di creare una piccola rete virtuale. Ho iniziato a giocare con interfacce virtuali (tun / tap, loop br etc) e mi piacerebbe poter esaminare il traffico che li attraversa a scopo di debug.

Non sono sicuro di quale strumento utilizzare. Conosco quanto segue:

1. Tshark (WireShark)
2. dumpcap
3. tcpdump
4. ettercap

Penso che tshark / WireShark utilizzi la discarica sotto. ettercap sembra essere uno strumento di attacco man-in-the-middle. Quale strumento (altri non elencati inclusi) useresti per eseguire il debug di un'interfaccia?

• WireShark: potente sniffer che può decodificare molti protocolli, molti filtri.

• tshark - versione da riga di comando di WireShark

• dumpcap (parte di WireShark): può solo catturare il traffico e può essere utilizzato da WireShark / Tshark

• tcpdump - decodifica del protocollo limitata ma disponibile sulla maggior parte delle piattaforme * NIX

• ettercap - usato per iniettare traffico senza annusare

Tutti gli strumenti usano libpcap (su Windows Winpcap) per annusare. Wireshark / tshark / dumpcap può utilizzare la sintassi del filtro tcpdump come filtro di acquisizione.

Poiché tcpdump è disponibile sulla maggior parte del sistema * NIX, di solito utilizzo tcpdump. A seconda del problema, a volte utilizzo tcpdump per catturare il traffico e scriverlo su un file, e successivamente utilizzo WireShark per analizzarlo. Se disponibile, utilizzo tshark ma se il problema si complica ancora mi piace ancora scrivere i dati in un file e quindi utilizzare Wireshark per l'analisi.

Cosa intendi con "debug di un'interfaccia"?

Wireshark & ​​Co. non ti aiuterà a risolvere un problema di interfaccia, ma ti aiuterà a risolvere il problema di connessione / traffico / protocollo / payload.

Se vuoi risolvere questo problema, il modo migliore è avere un PC non coinvolto nel traffico che vuoi risolvere collegato allo stesso switch Cisco e attraversare la porta che vuoi catturare verso quel PC / laptop (Nota che il link è molto utilizzato potrebbe farti perdere pacchetti su laptop / PC con schede di fascia bassa se si utilizza Gig-Ethernet)

es: (tratto dal 3750 in esecuzione il 12.2.x)

monitor session 1 source interface Gi1/0/10 both
monitor session 1 destination interface Gi1/0/11 encapsulation replicate

Ci sono molte altre opzioni, tutto è nella documentazione per la tua piattaforma e versione IOS

Nota che alcune piattaforme (quelle che eseguono IOS-XE, almeno alcune 6509 e forse altre) hanno sniffer integrati (in realtà una versione di Wireshark). La capacità effettiva varia da versione a versione, ma sono stato in grado di catturare il traffico su un buffer circolare da 8 MB e importarlo senza problemi in un Wireshark a tutti gli effetti)