[Tech] Verificare trasmission dati con tcpdump

Simone Piccardi piccardi@firenze.linux.it
Dom 18 Apr 2004 18:11:28 CEST 

On Sun, 2004-04-18 at 16:56, Marco Ermini wrote:
> Simone Piccardi disse:
> > Dall'essere adatto al non farlo c'e` un bel po' di strada.
> 
> Io la vedo diversamente. Il problema è che se cattura ciofeche perché il
> suo scopo non è quello, è assai poco utile. Tra non farlo bene e non farlo
> non ci vedo una grande differenza.
Cattura ciofeche? ma che vuol dire? Cosa sono, un nuovo tipo di
pacchetto? 

L'unico problema che puo' avere tcpdump (come qualunque altro sniffer,
compreso questo fantasmagorico snoop) e' di perdere pacchetti se non e`
in grado di reggere il traffico (e la cosa dipende molto piu` dalla
combinazione scheda di rete, cpu, memoria e disco che dal programma).

Comunque per quanto cerchi di girarci intorno il punto e` che tcpdump,
contrariamente a quanto affermavi tu, puo` tranquillamente catturare
pacchetti per intero e salvarteli su disco, e lo fa bene quanto
qualunque altro sniffer. Se poi non ti piace usa pure snoop, ma non
venire ad inventarti che non fa le cose.

> Come IMHO è poco utile ethereal stesso, che ha lo stesso problema di
> tcpdump. Secondo me serve un tool a monte che sia più stabile di tcpdump e
> di ethereal per catturare i pacchetti. Ethereal è adattissimo a
> visualizzare, ricercare, decodificare ecc. ma secondo me in fase di
> "cattura" lo è molto meno.
E che avrebbe di instabile tcpdump? Crasha nel catturare pacchetti? Ci
mette dentro le famose "ciofeche" di cui prima? Gradirei dei riferimenti
perche' questa storia dell'instabilita` di tcpdump mi e` completamente
nuova.

> Serve appunto un equivalente di "snoop", non ho idea se ci sia.
Non ho idea di cosa faccia snoop di tanto evoluto, ma se hai paura di
perdere pacchetti perche' pensi che tcpdump non sia ottimizzato per la
cattura, perche' ti sta antipatico, o perche' ti fa fatica leggerti la
pagina di manuale, puoi provare ad usare snort (che e` pure ottimizzato
per la cattura).

Ciao
-- 
Simone Piccardi <piccardi@firenze.linux.it>
-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome:        non disponibile
Tipo:        application/pgp-signature
Dimensione:  189 bytes
Descrizione: This is a digitally signed message part
URL:         <http://lists.linux.it/pipermail/flug-tech/attachments/20040418/26dececc/attachment.pgp>

Maggiori informazioni sulla lista flug-tech