Sự khác biệt giữa các công cụ sniffer


24

Tôi không chắc chắn những gì các công cụ mạng sau đây làm. Tất cả họ dường như làm một điều tương tự.

Đầu tiên một số nền tảng. Tôi quen thuộc với iOS cisco. Tôi đang thực hiện một số thử nghiệm mạng linux với các máy ảo vì vậy tôi đang cố gắng tạo một mạng ảo nhỏ. Tôi bắt đầu chơi với các giao diện ảo (tun / tap, loop br, v.v.) và tôi muốn có thể kiểm tra lưu lượng đi qua chúng cho mục đích gỡ lỗi.

Tôi không chắc chắn nên sử dụng công cụ nào. Tôi biết những điều sau đây:

  1. tshark (wireshark)
  2. bãi rác
  3. tcpdump
  4. ettercap

Tôi nghĩ rằng tshark / wireshark sử dụng dumpcap bên dưới. ettercap dường như là một công cụ tấn công trung gian. Công cụ nào (không bao gồm các công cụ khác được liệt kê) bạn sẽ sử dụng để gỡ lỗi một giao diện?

Câu trả lời:


31
  • wireshark - trình thám thính mạnh mẽ có thể giải mã rất nhiều giao thức, nhiều bộ lọc.

  • tshark - phiên bản dòng lệnh của wireshark

  • dumpcap (một phần của wireshark) - chỉ có thể nắm bắt lưu lượng truy cập và có thể được sử dụng bởi wireshark / tshark

  • tcpdump - giải mã giao thức giới hạn nhưng có sẵn trên hầu hết các nền tảng * NIX

  • ettercap - được sử dụng để tiêm lưu lượng không đánh hơi

Tất cả các công cụ sử dụng libpcap (trên windows winpcap) để đánh hơi. Wireshark / tshark / dumpcap có thể sử dụng cú pháp bộ lọc tcpdump làm bộ lọc chụp.

Vì tcpdump có sẵn trên hầu hết hệ thống * NIX, tôi thường sử dụng tcpdump. Tùy thuộc vào vấn đề đôi khi tôi sử dụng tcpdump để nắm bắt lưu lượng truy cập và ghi nó vào một tệp, sau đó sử dụng wireshark để phân tích nó. Nếu có sẵn, tôi sử dụng tshark nhưng nếu vấn đề trở nên phức tạp hơn, tôi vẫn muốn ghi dữ liệu vào một tệp và sau đó sử dụng Wireshark để phân tích.


2

Bạn có ý nghĩa gì khi "gỡ lỗi một giao diện"?

Wireshark & ​​Co. sẽ không giúp bạn khắc phục sự cố Giao diện, nhưng sẽ giúp bạn khắc phục sự cố kết nối / lưu lượng / giao thức / tải trọng.

Nếu bạn muốn khắc phục sự cố đó, cách tốt nhất là để PC không tham gia vào lưu lượng mà bạn muốn khắc phục sự cố được kết nối với cùng một bộ chuyển mạch của Cisco và mở rộng cổng bạn muốn chụp về PC / máy tính xách tay đó (Lưu ý rằng liên kết được sử dụng rất cao có thể giúp bạn giảm gói tin trên máy tính xách tay / máy tính có thẻ cấp thấp nếu sử dụng Gig-Ethernet)

ví dụ: (lấy từ 3750 chạy 12.2.x)

monitor session 1 source interface Gi1/0/10 both
monitor session 1 destination interface Gi1/0/11 encapsulation replicate

Có nhiều tùy chọn khác, mọi thứ đều có trong tài liệu cho phiên bản nền tảng & iOS của bạn

Lưu ý rằng một số nền tảng (những nền tảng chạy IOS-XE, ít nhất là một số 6509 và có thể là những nền tảng khác) có Trình thám thính tích hợp (thực ra là một phiên bản của Wireshark). Khả năng thực tế thay đổi từ phiên bản này sang phiên bản khác, nhưng tôi đã có thể nắm bắt lưu lượng truy cập trên bộ đệm tròn 8mb và nhập nó mà không gặp vấn đề gì với Wireshark chính thức)

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.