首先了解一些背景。我熟悉cisco IOS。我正在使用虚拟机进行一些Linux网络实验,因此我试图创建一个小型虚拟网络。我开始使用虚拟接口(tun / tap,loop br等),我希望能够检查通过它们的流量以进行调试。
我不确定是什么使用的工具。我知道以下内容:
tshark(wireshark)
dumpcap
tcpdump
我认为tshark / wireshark在下面使用dumpcap。 ettercap似乎是中间人攻击工具。您将使用哪种工具(未列出其他工具)来调试接口?
#1 楼
wireshark-功能强大的嗅探器,可以解码很多协议,很多过滤器。
tshark-Wireshark的命令行版本
dumpcap(wireshark的一部分)-只能捕获流量,并且可以被wirehark / tshark
tcpdump-有限的协议解码,但在大多数* NIX平台上可用。 Wireshark / tshark / dumpcap可以使用tcpdump过滤器语法作为捕获过滤器。
由于大多数* NIX系统上都可以使用tcpdump,所以我通常使用tcpdump。根据问题的不同,有时我会使用tcpdump捕获流量并将其写入文件,然后再使用wireshark对其进行分析。如果可用,我将使用tshark,但是如果问题变得更加复杂,我仍然希望将数据写入文件,然后使用Wireshark进行分析。
#2 楼
“调试接口”是什么意思?Wireshark&Co.不能帮助您解决接口问题,但是可以帮助您解决连接/流量/协议/有效载荷问题。
如果要解决此问题,最好的方法是将一台不参与要排除故障的流量的PC连接到同一Cisco交换机,然后将要捕获的端口连接到该PC /笔记本电脑(请注意,如果使用Gig以太网,则利用率非常高的链接可能会使您在带有低端卡的笔记本电脑/ PC上丢包。
例如:(摘自3750,运行12.2.x)
monitor session 1 source interface Gi1/0/10 both
monitor session 1 destination interface Gi1/0/11 encapsulation replicate
还有很多其他选项,所有内容都在您的平台和IOS版本的文档中。 6509以及其他产品)具有集成的嗅探器(实际上是Wireshark的版本)。实际功能因版本而异,但我能够捕获8mb圆形缓冲区上的流量,并将其毫无问题地导入成熟的Wireshark中。