Answers:
wirehark-功能强大的嗅探器,可以解码很多协议,很多过滤器。
tshark-Wireshark的命令行版本
dumpcap(wireshark的一部分)-只能捕获流量,并且可以被wireshark / tshark使用
tcpdump-有限的协议解码,但在大多数* NIX平台上可用
ettercap-用于注入不监听的流量
所有工具都使用libpcap(在Windows winpcap上)进行嗅探。Wireshark / tshark / dumpcap可以使用tcpdump过滤器语法作为捕获过滤器。
由于大多数* NIX系统上都可以使用tcpdump,所以我通常使用tcpdump。根据问题,有时我会使用tcpdump捕获流量并将其写入文件,然后再使用Wireshark对其进行分析。如果可用,我将使用tshark,但是如果问题变得更加复杂,我仍然希望将数据写入文件,然后使用Wireshark进行分析。
“调试接口”是什么意思?
Wireshark&Co.不会帮助您解决接口问题,但是会帮助您解决连接/流量/协议/有效载荷问题。
如果要对此进行故障排除,最好的方法是将一台不参与故障排除的计算机连接到同一台Cisco交换机,并将要捕获的端口连接到该PC /笔记本电脑(请注意,利用率很高的链接如果使用Gig以太网,可能会使您在带有低端卡的笔记本电脑/ PC上丢包)
例如:(摘自3750运行12.2.x)
monitor session 1 source interface Gi1/0/10 both
monitor session 1 destination interface Gi1/0/11 encapsulation replicate
还有许多其他选项,所有内容都在您的平台和IOS版本的文档中
请注意,某些平台(运行IOS-XE的平台,至少一些6509以及其他平台)具有集成嗅探器(实际上是Wireshark的版本)。实际功能因版本而异,但我能够在8mb的循环缓冲区上捕获流量并将其毫无问题地导入完整的Wireshark中)