Sniffer araçları arasındaki fark

Aşağıdaki ağ oluşturma araçlarının ne yaptığından emin değilim. Hepsi benzer bir şey yapıyor gibi görünüyor.

İlk önce biraz arkaplan. Cisco IOS ile tanıştım. Sanal makinelerde bazı linux ağ deneyleri yapıyorum, bu yüzden küçük bir sanal ağ oluşturmaya çalışıyorum. Sanal arayüzlerle oynamaya başladım (tun / tap, loop br vb.) Ve içinden geçen trafiği hata ayıklama amacıyla inceleyebilmek istiyorum.

Hangi aracı kullanacağımdan emin değilim. Aşağıdakileri biliyorum:

1. Tshark (Wireshark)
2. dumpcap
3. tcpdump
4. ettercap

Bence tshark / wireshark altında dumpcap kullanıyor. ettercap ortadaki adam saldırı aracı gibi görünüyor. Bir arayüzde hata ayıklamak için hangi aracı (listede yer almamış olanlar dahil) kullanırsınız?

• wireshark - çok sayıda protokolü, çok sayıda filtreyi çözebilen güçlü bir sniffer

• tshark - wireshark komut satırı sürümü

• dumpcap (wireshark parçası) - yalnızca trafiği yakalayabilir ve wireshark / tshark tarafından kullanılabilir

• tcpdump - sınırlı protokol kodu çözme ancak çoğu * NIX platformunda kullanılabilir

• ettercap - koklamayan trafiği enjekte etmek için kullanılır

Tüm araçlar, koklamak için libpcap (Windows winpcap'ta) kullanır. Wireshark / tshark / dumpcap, yakalama filtresi olarak tcpdump filtre sözdizimini kullanabilir.

Tcpdump çoğu * NIX sisteminde mevcut olduğundan, genellikle tcpdump kullanırım. Soruna bağlı olarak bazen trafiği yakalamak ve bir dosyaya yazmak için tcpdump kullanıyorum, sonra analiz etmek için wireshark kullanıyorum. Mümkünse, tshark kullanıyorum, ancak sorun daha karmaşık hale gelirse, verileri bir dosyaya yazmayı ve analiz için Wireshark'ı kullanmayı hala seviyorum.

"Bir arayüzde hata ayıklama" ile neyi kastediyorsunuz?

Wireshark & ​​Co., bir Arayüz sorununu gidermenize yardımcı olmaz, ancak bağlantı / trafik / protokol / yük taşıma sorunlarını gidermenize yardımcı olur.

Bu sorunu gidermek istiyorsanız, en iyi yol, aynı Cisco anahtarına bağlı sorun gidermek istediğiniz trafiğe dahil olmayan bir PC'ye sahip olmak ve bu PC / dizüstü bilgisayara doğru yakalamak istediğiniz bağlantı noktasını yaymaktır (Çok fazla kullanılan bağlantıya dikkat edin) Gig-Ethernet kullanılıyorsa, dizüstü bilgisayar / PC'nizde düşük kaliteli kartlarla paket düşürme yapabilirsiniz.)

Örn: (12.2.x çalışan 3750'den alınmış)

monitor session 1 source interface Gi1/0/10 both
monitor session 1 destination interface Gi1/0/11 encapsulation replicate

Başka birçok seçenek var, her şey platformunuz ve IOS sürümünüzün belgelerinde.

Bazı platformların (IOS-XE kullananlar, en azından bazı 6509 ve belki diğerleri) tümleşik sniffers (aslında bir Wireshark sürümü) olduğunu unutmayın. Gerçek yetenek sürümden sürüme değişir, ancak 8 MB'lik dairesel bir tamponda trafik yakalayabildim ve sorunsuzca tam bir Wireshark'a aktardım)