다음 네트워킹 도구의 기능이 확실하지 않습니다. 그들은 모두 비슷한 일을하는 것 같습니다.
먼저 몇 가지 배경. 저는 Cisco IOS에 익숙합니다. 가상 머신으로 리눅스 네트워킹 실험을하고 있으므로 작은 가상 네트워크를 만들려고합니다. 가상 인터페이스 (튜닝 / 탭, 루프 br 등)로 게임을 시작했으며 디버그 목적으로 트래픽을 조사하고 싶습니다.
어떤 도구를 사용 해야할지 잘 모르겠습니다. 나는 다음을 알고있다 :
나는 tshark / wireshark가 아래에 dumpcap을 사용한다고 생각합니다. ettercap은 중간자 공격 도구 인 것 같습니다. 인터페이스를 디버깅하는 데 어떤 도구 (포함되지 않은 기타 도구)를 사용 하시겠습니까?
답변:
wireshark-많은 프로토콜, 많은 필터를 해독 할 수있는 강력한 스니퍼.
tshark-wireshark의 명령 행 버전
dumpcap (wireshark의 일부)-트래픽 만 캡처 할 수 있으며 wireshark / tshark에서 사용할 수 있습니다.
tcpdump-제한된 프로토콜 디코딩이지만 대부분의 * NIX 플랫폼에서 사용 가능
ettercap-스니핑하지 않는 트래픽을 주입하는 데 사용
모든 도구는 스니핑을 위해 libpcap (Windows winpcap)을 사용합니다. Wireshark / tshark / dumpcap은 tcpdump 필터 구문을 캡처 필터로 사용할 수 있습니다.
tcpdump는 대부분의 * NIX 시스템에서 사용 가능하므로 일반적으로 tcpdump를 사용합니다. 문제에 따라 때때로 tcpdump를 사용하여 트래픽을 캡처하고 파일에 쓴 다음 나중에 wireshark를 사용하여 트래픽을 분석합니다. 가능한 경우 tshark를 사용하지만 문제가 더 복잡해지면 여전히 데이터를 파일에 쓴 다음 Wireshark를 사용하여 분석합니다.
"인터페이스 디버깅"은 무슨 뜻입니까?
Wireshark & Co.는 인터페이스 문제 해결에 도움이되지 않지만 연결 / 트래픽 / 프로토콜 / 페이로드 문제 해결에 도움이됩니다.
문제를 해결하려는 경우 가장 좋은 방법은 문제를 해결하려는 트래픽과 관련이없는 PC를 동일한 Cisco 스위치에 연결하여 해당 PC / 노트북쪽으로 캡처하려는 포트에 연결하는 것입니다 (매우 많이 활용되는 링크 Gig-Ethernet을 사용하는 경우 저급 카드로 노트북 / PC에서 패킷을 떨어 뜨릴 수 있음)
예 : (12.2.x를 실행하는 3750에서 가져옴)
monitor session 1 source interface Gi1/0/10 both
monitor session 1 destination interface Gi1/0/11 encapsulation replicate
다른 많은 옵션이 있습니다. 모든 것은 플랫폼 및 IOS 버전의 설명서에 있습니다.
일부 플랫폼 (IOS-XE를 실행하는 플랫폼, 최소 6509 이상 및 기타 플랫폼)에는 통합 스니퍼 (실제로는 Wireshark 버전)가 있습니다. 실제 기능은 버전마다 다르지만 8MB 순환 버퍼에서 트래픽을 캡처하여 문제없이 본격적인 Wireshark로 가져올 수있었습니다.)