Perbedaan antara alat sniffer

Saya tidak yakin apa yang dilakukan alat jaringan berikut ini. Mereka semua tampaknya melakukan hal serupa.

Pertama beberapa latar belakang. Saya kenal dengan cisco IOS. Saya melakukan beberapa percobaan jaringan linux dengan mesin virtual, jadi saya mencoba membuat jaringan virtual kecil. Saya mulai bermain dengan antarmuka virtual (tun / tap, loop br dll) dan saya ingin dapat memeriksa lalu lintas melalui mereka untuk keperluan debug.

Saya agak tidak yakin alat apa yang digunakan. Saya tahu yang berikut ini:

1. tshark (wireshark)
2. dumpcap
3. tcpdump
4. ettercap

Saya pikir tshark / wireshark menggunakan dumpcap di bawahnya. ettercap tampaknya menjadi alat serangan manusia di tengah. Alat mana (yang tidak termasuk lainnya termasuk) yang akan Anda gunakan untuk debug antarmuka?

• wireshark - sniffer kuat yang dapat memecahkan kode banyak protokol, banyak filter.

• tshark - versi baris perintah dari wireshark

• dumpcap (bagian dari wireshark) - hanya dapat menangkap lalu lintas dan dapat digunakan oleh wireshark / tshark

• tcpdump - decoding protokol terbatas tetapi tersedia di sebagian besar platform * NIX

• ettercap - digunakan untuk menyuntikkan lalu lintas bukan mengendus

Semua alat menggunakan libpcap (di windows winpcap) untuk mengendus. Wireshark / tshark / dumpcap dapat menggunakan sintaks filter tcpdump sebagai filter penangkap.

Karena tcpdump tersedia pada kebanyakan sistem * NIX, saya biasanya menggunakan tcpdump. Bergantung pada masalah saya kadang-kadang menggunakan tcpdump untuk menangkap lalu lintas dan menulisnya ke file, dan kemudian menggunakan wireshark untuk menganalisisnya. Jika tersedia, saya menggunakan tshark tetapi jika masalahnya semakin rumit, saya masih suka menulis data ke file dan kemudian menggunakan Wireshark untuk analisis.

Apa yang Anda maksud dengan "men-debug antarmuka"?

Wireshark & ​​Co. tidak akan membantu Anda memecahkan masalah Antarmuka, tetapi akan membantu Anda memecahkan masalah koneksi / traffic / protokol / payload.

Jika Anda ingin memecahkan masalah itu, cara terbaik adalah memiliki PC yang tidak terlibat dalam lalu lintas yang ingin Anda atasi masalah yang terhubung ke switch Cisco yang sama dan span port yang ingin Anda tangkap ke PC / laptop tersebut (Perhatikan bahwa tautan yang sangat bermanfaat) mungkin memberi Anda paket tetes pada laptop / pc dengan kartu low-end jika Gig-Ethernet digunakan)

mis: (diambil dari 3750 menjalankan 12.2.x)

monitor session 1 source interface Gi1/0/10 both
monitor session 1 destination interface Gi1/0/11 encapsulation replicate

Ada banyak opsi lain, semuanya ada dalam dokumentasi untuk platform Anda & versi iOS

Perhatikan bahwa beberapa platform (yang menjalankan iOS-XE, setidaknya beberapa 6509 dan mungkin yang lain) memiliki sniffer Terintegrasi (sebenarnya merupakan versi Wireshark). Kemampuan aktual bervariasi dari versi ke versi, tetapi saya dapat menangkap lalu lintas pada buffer melingkar 8MB dan mengimpornya tanpa masalah ke Wireshark yang lengkap)