Разница между инструментами анализатора

Я не уверен, что делают следующие сетевые инструменты. Кажется, они все делают одно и то же.

Сначала немного предыстории. Я знаком с Cisco IOS. Я провожу некоторые эксперименты в сети Linux с виртуальными машинами, поэтому я пытаюсь создать небольшую виртуальную сеть. Я начал играть с виртуальными интерфейсами (tun / tap, loop br и т. Д.) И хотел бы иметь возможность проверять трафик, проходящий через них, в целях отладки.

Я немного не уверен, какой инструмент использовать. Я знаю следующее:

1. чарк (wireshark)
2. dumpcap
3. ТСРйитр
4. Ettercap

Я думаю, что tshark / wireshark использует dumpcap внизу. ettercap, похоже, инструмент для атаки "человек посередине". Какой инструмент (другие не включены в список) вы бы использовали для отладки интерфейса?

• wireshark - мощный анализатор, который может декодировать множество протоколов, множество фильтров.

• tshark - версия wireshark для командной строки

• dumpcap (часть wireshark) - может захватывать только трафик и может использоваться wireshark / tshark

• tcpdump - декодирование с ограниченным протоколом, но доступно на большинстве * платформ NIX

• ettercap - используется для ввода трафика, не нюхая

Все инструменты используют libpcap (на windows winpcap) для сниффинга. Wireshark / tshark / dumpcap может использовать синтаксис фильтра tcpdump в качестве фильтра захвата.

Поскольку tcpdump доступен в большинстве систем * NIX, я обычно использую tcpdump. В зависимости от проблемы я иногда использую tcpdump для захвата трафика и записи его в файл, а затем позже использую wireshark для его анализа. Если возможно, я использую tshark, но если проблема усложняется, я все равно хотел бы записать данные в файл, а затем использовать Wireshark для анализа.

Что вы подразумеваете под «отладка интерфейса»?

Wireshark & ​​Co. не поможет вам решить проблему с интерфейсом, но поможет решить проблему с подключением / трафиком / протоколом / полезной нагрузкой.

Если вы хотите устранить неполадки, лучше всего подключить к тому же коммутатору Cisco ПК, не участвующий в трафике, который вы хотите устранять, и охватить порт, который вы хотите захватить, этим ПК / ноутбуком (обратите внимание, что очень интенсивно используется канал при использовании Gig-Ethernet вы можете получить пакеты пакетов на ноутбуке / ПК с низкоуровневыми картами)

например: (взято из 3750 под управлением 12.2.x)

monitor session 1 source interface Gi1/0/10 both
monitor session 1 destination interface Gi1/0/11 encapsulation replicate

Есть много других опций, все есть в документации для вашей платформы и версии IOS

Обратите внимание, что некоторые платформы (те, которые работают под управлением IOS-XE, по крайней мере, около 6509 и, возможно, другие) имеют встроенные снифферы (на самом деле это версия Wireshark). Фактические возможности варьируются от версии к версии, но я смог захватить трафик в кольцевом буфере 8 Мб и без проблем импортировать его в полноценный Wireshark)