Différence entre les outils de renifleur

Je ne sais pas ce que font les outils de mise en réseau suivants. Ils semblent tous faire la même chose.

Tout d'abord quelques informations. Je connais Cisco IOS. Je fais une expérimentation de mise en réseau Linux avec des machines virtuelles, donc j'essaie de créer un petit réseau virtuel. J'ai commencé à jouer avec des interfaces virtuelles (tun / tap, loop br, etc.) et j'aimerais pouvoir examiner le trafic qui les traverse à des fins de débogage.

Je ne sais pas quel outil utiliser. Je connais ce qui suit:

1. tshark (Wirehark)
2. benne
3. tcpdump
4. ettercap

Je pense que tshark / filshark utilise un dumpcap en dessous. ettercap semble être un outil d'attaque de l'homme du milieu. Quel outil (autres non répertoriés inclus) utiliseriez-vous pour déboguer une interface?

• Wireshark - renifleur puissant qui peut décoder beaucoup de protocoles, beaucoup de filtres.

• tshark - version en ligne de commande de Wireshark

• dumpcap (partie de Wireshark) - ne peut capturer que le trafic et peut être utilisé par Wireshark / Tshark

• tcpdump - décodage de protocole limité mais disponible sur la plupart des * plateformes NIX

• ettercap - utilisé pour injecter du trafic sans renifler

Tous les outils utilisent libpcap (sur windows winpcap) pour flairer. Wireshark / tshark / dumpcap peut utiliser la syntaxe de filtre tcpdump comme filtre de capture.

Comme tcpdump est disponible sur la plupart des systèmes * NIX, j'utilise habituellement tcpdump. Selon le problème, j'utilise parfois tcpdump pour capturer le trafic et l'écrire dans un fichier, puis plus tard, j'utilise wirehark pour l'analyser. Si disponible, j'utilise tshark mais si le problème se complique, j'aime toujours écrire les données dans un fichier puis utiliser Wireshark pour l'analyse.

Qu'entendez-vous par «déboguer une interface»?

Wireshark & ​​Co. ne vous aidera pas à résoudre un problème d'interface, mais vous aidera à résoudre le problème de connexion / trafic / protocole / charge utile.

Si vous souhaitez résoudre ce problème, la meilleure façon est d'avoir un PC non impliqué dans le trafic que vous souhaitez dépanner connecté au même commutateur Cisco et de couvrir le port que vous souhaitez capturer vers ce PC / ordinateur portable (notez que le lien très très utilisé peut vous faire perdre des paquets sur un ordinateur portable / PC avec des cartes bas de gamme si Gig-Ethernet est utilisé)

ex: (extrait de 3750 exécutant 12.2.x)

monitor session 1 source interface Gi1/0/10 both
monitor session 1 destination interface Gi1/0/11 encapsulation replicate

Il existe de nombreuses autres options, tout est dans la documentation de votre plate-forme et version IOS

Notez que certaines plates-formes (celles qui exécutent IOS-XE, au moins quelques 6509 et peut-être d'autres) ont des renifleurs intégrés (en fait une version de Wireshark). La capacité réelle varie d'une version à l'autre, mais j'ai pu capturer le trafic sur un tampon circulaire de 8 Mo et l'importer sans problème dans un Wireshark à part entière)