Різниця між інструментами sniffer

Я не впевнений, що роблять наступні інструменти для мереж. Вони, схоже, роблять подібну справу.

Спочатку деяке тло. Мені знайомий IOS Cisco. Я роблю деякі експерименти в мережі Linux з віртуальними машинами, тому я намагаюся створити невелику віртуальну мережу. Я почав грати з віртуальними інтерфейсами (tun / tap, loop br і т. Д.), І я хотів би мати можливість вивчити трафік, що проходить через них для налагодження.

Я трохи не впевнений, який інструмент використовувати. Мені відомо наступне:

1. тшарк (проводка)
2. вареник
3. tcpdump
4. ettercap

Я думаю, tshark / wireshark використовує dumpcap під ним. ettercap, здається, є інструментом атаки "людина-в-середині". Який інструмент (інші не включені до списку) ви б використали для налагодження інтерфейсу?

• wireshark - потужний sniffer, який може розшифрувати безліч протоколів, безліч фільтрів.

• tshark - версія командного рядка wireshark

• dumpcap (частина wireshark) - може лише захоплювати трафік і може використовуватися wireshark / tshark

• tcpdump - обмежене декодування протоколу, але доступне на більшості * NIX-платформ

• ettercap - використовується для впорскування трафіку, який не нюхає

Всі інструменти використовують libpcap (на windows winpcap) для нюхання. Wireshark / tshark / dumpcap може використовувати синтаксис фільтра tcpdump як фільтр захоплення.

Оскільки tcpdump доступний у більшості систем * NIX, я зазвичай використовую tcpdump. Залежно від проблеми, я іноді використовую tcpdump для збору трафіку і записую його у файл, а пізніше використовую wireshark для його аналізу. Якщо є, я використовую tshark, але якщо проблема ускладнюється, я все одно люблю записувати дані у файл, а потім використовувати Wireshark для аналізу.

Що ви маєте на увазі під налагодженням інтерфейсу?

Wireshark & ​​Co. не допоможе вирішити проблему з інтерфейсом, але допоможе вирішити проблему з підключенням / трафіком / протоколом / корисним навантаженням.

Якщо ви хочете виправити це, найкращим способом є те, щоб ПК не брав участь у трафіку, який ви хочете усунути, підключившись до того ж комутатора Cisco, і перетягнути порт, який ви хочете захопити до цього ПК / ноутбука (зауважте, що дуже високо використовуване посилання можливо, ви отримаєте краплі пакетів на ноутбук / ПК із картками низького класу, якщо використовується Gig-Ethernet)

Наприклад: (взято з 3750, що працює 12.2.x)

monitor session 1 source interface Gi1/0/10 both
monitor session 1 destination interface Gi1/0/11 encapsulation replicate

Є багато інших варіантів, все є в документації до вашої платформи та версії IOS

Зауважте, що деякі платформи (ті, на яких працює IOS-XE, принаймні деякі 6509 і, можливо, інші) мають інтегровані сніфери (фактично версія Wireshark). Фактична можливість змінюється від версії до версії, але мені вдалося зафіксувати трафік на 8-мегабайтному круговому буфері та імпортувати його без проблем у повноцінний Wireshark)