wireshark – Diferencia entre herramientas rastreadoras

Pregunta:

No estoy seguro de lo que hacen las siguientes herramientas de red. Todos parecen hacer algo similar.

Primero, algunos antecedentes. Estoy familiarizado con Cisco IOS. Estoy experimentando algunas redes Linux con máquinas virtuales, así que estoy tratando de crear una pequeña red virtual. Comencé a jugar con interfaces virtuales (tun / tap, loop br, etc.) y me gustaría poder examinar el tráfico que las atraviesa para fines de depuración.

No estoy seguro de qué herramienta usar. Sé de lo siguiente:

  1. tshark (wirehark)
  2. volquete
  3. tcpdump
  4. ettercap

Creo que tshark / wirehark usa dumpcap debajo. ettercap parece ser una herramienta de ataque de intermediario. ¿Qué herramienta (otras no incluidas en la lista) usaría para depurar una interfaz?

Respuesta:

  • Wireshark: un potente rastreador que puede decodificar muchos protocolos, muchos filtros.

  • tshark – versión de línea de comandos de Wireshark

  • dumpcap (parte de Wireshark): solo puede capturar tráfico y puede ser utilizado por Wireshark / Tshark

  • tcpdump: decodificación de protocolo limitada pero disponible en la mayoría de las plataformas * NIX

  • ettercap – utilizado para inyectar tráfico, no olfatear

Todas las herramientas usan libpcap (en windows winpcap) para rastrear. Wireshark / tshark / dumpcap puede usar la sintaxis del filtro tcpdump como filtro de captura.

Como tcpdump está disponible en la mayoría de los sistemas * NIX, normalmente uso tcpdump. Dependiendo del problema, a veces uso tcpdump para capturar el tráfico y escribirlo en un archivo, y luego uso wirehark para analizarlo. Si está disponible, uso tshark, pero si el problema se vuelve más complicado, todavía me gusta escribir los datos en un archivo y luego usar Wireshark para el análisis.

Leave a Comment

Your email address will not be published.

Scroll to Top

istanbul avukat

-

web tasarım