ความแตกต่างระหว่างเครื่องมือดมกลิ่น


24

ฉันไม่แน่ใจว่าเครื่องมือเครือข่ายต่อไปนี้ทำอะไร พวกเขาดูเหมือนจะทำสิ่งเดียวกัน

ก่อนอื่นให้พื้นหลัง ฉันคุ้นเคยกับ cisco IOS ฉันกำลังทดลองใช้เครือข่าย linux กับเครื่องเสมือนดังนั้นฉันพยายามสร้างเครือข่ายเสมือนขนาดเล็ก ฉันเริ่มเล่นกับอินเทอร์เฟซเสมือน (tun / tap, loop br etc) และฉันต้องการที่จะตรวจสอบปริมาณการใช้งานที่ผ่านพวกเขาเพื่อการตรวจแก้จุดบกพร่อง

ฉันไม่แน่ใจในเครื่องมือที่จะใช้ ฉันรู้ดังต่อไปนี้:

  1. tshark (wireshark)
  2. dumpcap
  3. tcpdump
  4. Ettercap

ฉันคิดว่า tshark / wireshark ใช้ dumpcap ด้านล่าง ettercap น่าจะเป็นเครื่องมือการโจมตีแบบคนต่อคนกลาง คุณจะใช้เครื่องมือใด (ไม่รวมอยู่ในรายการอื่น) ในการดีบักส่วนต่อประสาน

คำตอบ:


31
  • wireshark - ดมกลิ่นอันทรงพลังซึ่งสามารถถอดรหัสโปรโตคอลจำนวนมากตัวกรองจำนวนมาก

  • tshark - เวอร์ชันบรรทัดคำสั่งของ wireshark

  • dumpcap (ส่วนหนึ่งของ wireshark) - สามารถดักจับทราฟฟิกได้และสามารถใช้ได้โดย wireshark / tshark

  • tcpdump - การถอดรหัสโปรโตคอลที่ จำกัด แต่มีอยู่ในแพลตฟอร์ม * NIX ส่วนใหญ่

  • ettercap - ใช้สำหรับการฉีดทราฟฟิกไม่ดมกลิ่น

เครื่องมือทั้งหมดใช้ libpcap (บน windows winpcap) เพื่อการดมกลิ่น Wireshark / tshark / dumpcap สามารถใช้ไวยากรณ์ตัวกรอง tcpdump เป็นตัวกรองการจับภาพ

เนื่องจาก tcpdump มีอยู่ในระบบ * NIX ส่วนใหญ่ฉันมักจะใช้ tcpdump บางครั้งฉันใช้ tcpdump เพื่อจับภาพทราฟฟิกและเขียนลงไฟล์แล้วใช้ wireshark เพื่อวิเคราะห์ในภายหลัง ถ้ามีฉันใช้ tshark แต่ถ้าปัญหาซับซ้อนขึ้นฉันก็ยังอยากเขียนข้อมูลลงไฟล์แล้วใช้ Wireshark เพื่อการวิเคราะห์


2

คุณหมายถึงอะไรโดย "ดีบักอินเทอร์เฟซ"?

Wireshark & ​​Co. จะไม่ช่วยคุณในการแก้ไขปัญหาส่วนต่อประสาน แต่จะช่วยคุณแก้ไขปัญหาการเชื่อมต่อ / ปริมาณการใช้งาน / โปรโตคอล / น้ำหนักบรรทุก

หากคุณต้องการแก้ไขปัญหานั้นวิธีที่ดีที่สุดคือให้พีซีไม่เกี่ยวข้องกับการรับส่งข้อมูลที่คุณต้องการแก้ไขปัญหาการเชื่อมต่อกับสวิตช์ Cisco เดียวกันและขยายพอร์ตที่คุณต้องการจับภาพไปยังพีซี / แล็ปท็อปนั้น อาจให้แพ็คเก็ตของคุณลดลงบนแล็ปท็อป / พีซีที่มีการ์ดระดับล่างถ้าใช้ Gig-Ethernet)

เช่น: (นำมาจาก 3750 ที่รัน 12.2.x)

monitor session 1 source interface Gi1/0/10 both
monitor session 1 destination interface Gi1/0/11 encapsulation replicate

มีตัวเลือกอื่น ๆ อีกมากมายทุกอย่างอยู่ในเอกสารประกอบสำหรับแพลตฟอร์มและรุ่น IOS ของคุณ

โปรดทราบว่าบางแพลตฟอร์ม (ที่ใช้ IOS-XE อย่างน้อย 6509 และอื่น ๆ ) มี sniffers ในตัว (จริงๆแล้วเป็นรุ่นของ Wireshark) ความสามารถที่แท้จริงแตกต่างกันไปในแต่ละรุ่น แต่ฉันสามารถจับภาพการจราจรบนบัฟเฟอร์แบบวงกลมขนาด 8mb และนำเข้าได้โดยไม่มีปัญหาใน Wireshark ที่เต็มเปี่ยม)

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.