Unterschied zwischen Schnüffelwerkzeugen

24

Ich bin nicht sicher, was die folgenden Netzwerktools bewirken. Sie scheinen alle eine ähnliche Sache zu tun.

Zunächst einige Hintergrundinformationen. Ich bin mit Cisco IOS vertraut. Ich mache einige Linux-Networking-Experimente mit virtuellen Maschinen, also versuche ich, ein kleines virtuelles Netzwerk zu erstellen. Ich habe angefangen, mit virtuellen Interfaces (tun / tap, loop br usw.) zu spielen, und ich möchte in der Lage sein, den Datenverkehr, der sie durchläuft, zu Debug-Zwecken zu untersuchen.

Ich bin mir nicht sicher, welches Tool ich verwenden soll. Ich kenne folgendes:

  1. Hai (Wireshark)
  2. dumpcap
  3. tcpdump
  4. ettercap

Ich denke, dass tshark / wireshark dumpcap darunter verwendet. ettercap scheint ein Man-in-the-Middle-Angriffswerkzeug zu sein. Welches Tool (andere nicht im Lieferumfang enthalten) würden Sie zum Debuggen einer Schnittstelle verwenden?

s5s
quelle

Antworten:

31
  • wireshark - leistungsstarker Sniffer, der viele Protokolle und Filter dekodieren kann.

  • tshark - Kommandozeilenversion von wireshark

  • dumpcap (Teil von wireshark) - Kann nur Datenverkehr erfassen und von wireshark / tshark verwendet werden

  • tcpdump - begrenzte Protokolldecodierung, aber auf den meisten * NIX-Plattformen verfügbar

  • ettercap - wird zum Injizieren von Verkehr verwendet, der nicht schnüffelt

Alle Tools verwenden libpcap (unter Windows winpcap) zum Sniffing. Wireshark / tshark / dumpcap kann die Syntax des tcpdump-Filters als Erfassungsfilter verwenden.

Da tcpdump auf den meisten * NIX-Systemen verfügbar ist, verwende ich normalerweise tcpdump. Abhängig vom Problem verwende ich manchmal tcpdump, um den Datenverkehr zu erfassen und in eine Datei zu schreiben, und verwende später wireshark, um ihn zu analysieren. Wenn verfügbar, verwende ich tshark, aber wenn das Problem komplizierter wird, schreibe ich die Daten trotzdem gerne in eine Datei und verwende dann Wireshark zur Analyse.

Jens Link
quelle
2

Was meinst du mit "Debuggen einer Schnittstelle"?

Wireshark & ​​Co. hilft Ihnen nicht bei der Behebung eines Schnittstellenproblems, sondern bei der Behebung von Verbindungs- / Verkehrs- / Protokoll- / Nutzlastproblemen.

Wenn Sie dies beheben möchten, ist es am besten, einen PC, der nicht an dem Datenverkehr beteiligt ist, den Sie beheben möchten, an denselben Cisco-Switch anzuschließen und den zu erfassenden Port auf diesen PC / Laptop zu verteilen kann bei Verwendung von Gig-Ethernet zu Paketverlusten auf Laptop / PC mit Low-End-Karten führen)

Beispiel: (aus 3750 mit 12.2.x)

monitor session 1 source interface Gi1/0/10 both
monitor session 1 destination interface Gi1/0/11 encapsulation replicate

Es gibt viele andere Möglichkeiten, alles ist in der Dokumentation für Ihre Plattform & iOS-Version

Beachten Sie, dass auf einigen Plattformen (auf denen IOS-XE ausgeführt wird, mindestens 6509 und möglicherweise auch andere) integrierte Sniffer (tatsächlich eine Version von Wireshark) vorhanden sind. Die tatsächliche Kapazität variiert von Version zu Version, aber ich konnte den Datenverkehr auf einem 8-MB-Umlaufpuffer erfassen und problemlos in einen vollwertigen Wireshark importieren.

Remi Letourneau
quelle