Hallo Liste,
mal eine kurze Frage zum Thema Sniffer. Ich setzte Ethereal/Tethereal auf einer Linuxbox als Sniffer ein. In der Doku zu Ethereal und auch zum Paketcapture Treiber libcap habe ich keine Information gefunden, ob die Software in der Lage ist auch defekte Datenpakete mitzuschneiden. Es kommt sicherlich auf den Capturetreiber an. Hat dazu jemand Erfahrungen mit der Software ?
Vielen Dank.
Gruss, Daniel.
Am Thu den 07 Feb 2002 um 08:26:16PM +0100 schrieb daniel woller:
Hallo Liste,
(dein Zeilenumbruch ist kaputt...)
mal eine kurze Frage zum Thema Sniffer. Ich setzte Ethereal/Tethereal auf einer Linuxbox als Sniffer ein. In der Doku zu Ethereal und auch zum Paketcapture Treiber libcap habe ich keine Information gefunden, ob die Software in der Lage ist auch defekte Datenpakete mitzuschneiden. Es kommt sicherlich auf den Capturetreiber an. Hat dazu jemand Erfahrungen mit der Software ?
Ethereal zeigt komplette Ethernet Frames an, so wie sie auf der Karte ankommen. Was meinst du eigentlich mit kaputt? Die Checksummen, die die einzelnen Protokolle mitschicken überprüft Ethereal und zeigt an, ob die korrekt sind oder nicht. Es wirft aber inkorrekte Pakete nicht weg.
andre
Andre Schulze (as8@rcs.urz.tu-dresden.de) schrieb auf LUG-DD am Don, 07 Feb, 2002; 22:19 +0100:
Am Thu den 07 Feb 2002 um 08:26:16PM +0100 schrieb daniel woller:
Hi,
mal eine kurze Frage zum Thema Sniffer. Ich setzte
[...]
Ethereal zeigt komplette Ethernet Frames an, so wie sie auf der Karte ankommen.
Nein, so wie sie libpcap auffängt.
Was meinst du eigentlich mit kaputt? Die
Er meint sicher Ethernet Frames, die keine Ethernet-Frames mehr sind, oder noch nie waren, dennoch auf der Leitung sind.
Checksummen, die die einzelnen Protokolle mitschicken überprüft
Wenn, dann geht es sicher um die von Layer 2. Dazu sagt http://www.ethereal.com/faq.html Q 4.17: Unless the OS can be configured to supply packets with errors such as invalid CRCs to the raw packet capture mechanism. Also erfordert es einen speziellen Karten-Treiber.
Ethereal und zeigt an, ob die korrekt sind oder nicht. Es wirft aber inkorrekte Pakete nicht weg.
Es bekommt sie gar nicht erst zu Gesicht.
Gruß,
Frank
On Thu, Feb 07, 2002 at 08:26:16PM +0100, daniel woller wrote:
zum Paketcapture Treiber libcap habe ich keine Information gefunden, ob die Software in der Lage ist auch defekte Datenpakete mitzuschneiden. Es kommt sicherlich auf den Capturetreiber an. Hat dazu jemand Erfahrungen mit der Software ?
Auf welchem Layer sind deine Pakete defekt? Defekte Ethernet-Frames dürfte die libpcap schon nicht zu sehen bekommen, da die Netzkarte die wohl wegwirft. Alle Defekte in höheren Ebenen (IP, TCP, HTTP, ...) kannst du natürlich mitschneiden indem du auf Link-Layer aufzeichnest.
tcpdump macht das per default (tcpdump -w file), ethereal kann das sicher auch.
Reinhard
lug-dd@mailman.schlittermann.de
-
Andre Schulze -
daniel woller -
Frank Becker -
Reinhard Foerster