Diferencia entre herramientas sniffer

24

No estoy seguro de lo que hacen las siguientes herramientas de red. Todos parecen hacer algo similar.

Primero algunos antecedentes. Estoy familiarizado con Cisco IOS. Estoy experimentando en redes Linux con máquinas virtuales, así que estoy tratando de crear una pequeña red virtual. Comencé a jugar con interfaces virtuales (tun / tap, loop br, etc.) y me gustaría poder examinar el tráfico que las atraviesa con fines de depuración.

No estoy seguro de qué herramienta usar. Sé de lo siguiente:

  1. tshark (wireshark)
  2. basurero
  3. tcpdump
  4. ettercap

Creo que tshark / wireshark usa dumpcap debajo. ettercap parece ser una herramienta de ataque de hombre en el medio. ¿Qué herramienta (otras no incluidas en la lista incluidas) usaría para depurar una interfaz?

s5s
fuente

Respuestas:

31
  • wireshark - potente sniffer que puede decodificar muchos protocolos, muchos filtros.

  • tshark - versión de línea de comandos de wireshark

  • dumpcap (parte de wireshark): solo puede capturar tráfico y puede ser utilizado por wireshark / tshark

  • tcpdump: decodificación de protocolo limitada pero disponible en la mayoría de las plataformas * NIX

  • ettercap: se usa para inyectar tráfico sin olfatear

Todas las herramientas usan libpcap (en Windows winpcap) para olfatear. Wireshark / tshark / dumpcap puede usar la sintaxis del filtro tcpdump como filtro de captura.

Como tcpdump está disponible en la mayoría de los sistemas * NIX, generalmente uso tcpdump. Dependiendo del problema, a veces uso tcpdump para capturar el tráfico y escribirlo en un archivo, y luego usar wireshark para analizarlo. Si está disponible, uso tshark, pero si el problema se complica aún me gusta escribir los datos en un archivo y luego usar Wireshark para el análisis.

Jens Link
fuente
2

¿Qué quiere decir con "depurar una interfaz"?

Wireshark & ​​Co. no lo ayudará a solucionar un problema de interfaz, pero lo ayudará a solucionar problemas de conexión / tráfico / protocolo / carga útil.

Si desea solucionarlo, la mejor manera es tener una PC que no esté involucrada en el tráfico que desea solucionar y que esté conectada al mismo conmutador Cisco y abarcar el puerto que desea capturar hacia esa PC / computadora portátil (tenga en cuenta que el enlace es muy utilizado podría obtener paquetes de paquetes en una computadora portátil / pc con tarjetas de gama baja si se usa Gig-Ethernet)

Ej: (tomado de 3750 ejecutando 12.2.x)

monitor session 1 source interface Gi1/0/10 both
monitor session 1 destination interface Gi1/0/11 encapsulation replicate

Hay muchas otras opciones, todo está en la documentación de su plataforma y versión de IOS

Tenga en cuenta que algunas plataformas (aquellas que ejecutan IOS-XE, al menos algunas 6509 y tal vez otras) tienen sniffers integrados (en realidad, una versión de Wireshark). La capacidad real varía de una versión a otra, pero pude capturar el tráfico en un búfer circular de 8 MB e importarlo sin problemas a un Wireshark completo)

Remi Letourneau
fuente