Development Site

Gerade erst bin ich auf der Wireshark-Seite darüber gestolpert: Eines meiner Lieblingstools - tcpdump - hat Version 4 erreicht und Libpcap Version 1.

Zugegeben, die meisten Neuerungen werden keine Anwendung durch mich finden, auch wenn ich es begrüße, dass IPv6 nun in Libpcap standardmäßig aktiviert ist. Was der neue Monitor Mode (Option -I) in tcpdump bringen soll, darauf bin ich gespannt. Ansonsten freut es mich, dass ein so unerlässlicher Helfer wie Libpcap endlich dem als Bastel-Stadium anmutenden 0.x-Versionsstand entwachsen ist. Wireshark selbst konnte diesen Schritt bereits im Frühjahr diesen Jahres bewältigen, sodass die Familie nun vollständig 1+ ist .

Die beschriebenen Tools in Kürze:

• tcpdump ist ein Programm zum Mitschneiden des Netzwerkverkehrs direkt auf der Netzwerkschnittstelle. Es ist auf sehr vielen Systemen verbreitet, besonders Appliances aus dem Netzwerkbereich (Firewalls, Intrution Prevention Systeme, Proxies ...) stellen Werkzeuge zur Verfügung, die auf tcpump basieren. Somit ist die Kenntnis der mächtigen tcpdump-Filter-Syntax eine rechte Hilfe bei der Fehlersuche in diesem Bereich.
• Libpcap ist eine Bibliothek, welche die Funktionalität von tcpdump, Pakete direkt auf der Netzwerkschnittstelle abzufangen und aufzuzeichnen, anderen Programmen zur Verfügung stellt.
• Wireshark nutzt Libpcap zum sammeln von Netzwerkpaketen. Es ist im Gegensatz zu tcpdump ein Werkzeug für die graphische Oberfläche und ermöglicht so den leichten Einstieg in die Welt der Paketsammler. Um die Capture Filter effektiv nutzen zu können, ist wiederum die Kenntnis der tcpdump-Filter-Syntax notwendig. Auch mit tcpdump erstellte Capture-Dateien lassen sich damit sehr einfach analysieren.

Weitere Infos:

• tcpdump Changelog
• Libpcap Changelog