Diferença entre ferramentas sniffer

24

Não tenho certeza do que as seguintes ferramentas de rede fazem. Todos eles parecem fazer uma coisa semelhante.

Primeiro alguns antecedentes. Eu estou familiarizado com Cisco IOS. Estou fazendo algumas experiências de rede linux com máquinas virtuais, por isso estou tentando criar uma pequena rede virtual. Comecei a jogar com interfaces virtuais (tun / tap, loop br etc) e gostaria de poder examinar o tráfego passando por elas para fins de depuração.

Estou um pouco inseguro sobre qual ferramenta usar. Eu sei do seguinte:

  1. tshark (wireshark)
  2. dumpcap
  3. tcpdump
  4. ettercap

Eu acho que o tshark / wireshark usa o dumpcap embaixo. O ettercap parece ser uma ferramenta de ataque do tipo man-in-the-middle. Qual ferramenta (outras não listadas incluídas) você usaria para depurar uma interface?

s5s
fonte

Respostas:

31
  • wireshark - sniffer poderoso que pode decodificar muitos protocolos, muitos filtros.

  • tshark - versão em linha de comando do wireshark

  • dumpcap (parte do wireshark) - só pode capturar tráfego e pode ser usado pelo wireshark / tshark

  • tcpdump - decodificação de protocolo limitada, mas disponível na maioria das plataformas * NIX

  • ettercap - usado para injetar tráfego e não cheirar

Todas as ferramentas usam libpcap (no windows winpcap) para detectar. O Wireshark / tshark / dumpcap pode usar a sintaxe do filtro tcpdump como filtro de captura.

Como o tcpdump está disponível na maioria dos sistemas * NIX, eu normalmente uso o tcpdump. Dependendo do problema, às vezes uso o tcpdump para capturar o tráfego e gravá-lo em um arquivo, e depois uso o wireshark para analisá-lo. Se disponível, eu uso o tshark, mas se o problema se complicar, ainda gosto de gravar os dados em um arquivo e depois usar o Wireshark para análise.

Jens Link
fonte
2

O que você quer dizer com "depurar uma interface"?

A Wireshark & ​​Co. não ajudará a solucionar problemas de interface, mas a problemas de conexão / tráfego / protocolo / carga útil.

Se você deseja solucionar isso, a melhor maneira é ter um PC não envolvido no tráfego que você deseja solucionar, conectado ao mesmo comutador Cisco e abranger a porta que deseja capturar para esse PC / laptop (observe que o link muito utilizado) pode causar quedas de pacotes no laptop / pc com placas de baixo custo, se for usada a Gig-Ethernet)

ex: (extraído de 3750 executando 12.2.x)

monitor session 1 source interface Gi1/0/10 both
monitor session 1 destination interface Gi1/0/11 encapsulation replicate

Existem muitas outras opções, tudo está na documentação da sua plataforma e versão do IOS

Observe que algumas plataformas (aquelas que executam o IOS-XE, pelo menos algumas 6509 e talvez outras) possuem sniffers integrados (na verdade, uma versão do Wireshark). A capacidade real varia de versão para versão, mas consegui capturar o tráfego em um buffer circular de 8mb e importá-lo sem problemas para um Wireshark completo)

Remi Letourneau
fonte