অভ্যন্তরীণভাবে ওয়্যারশার্কে ফিল্টারগুলি কীভাবে কাজ করবে?

1

আমি যখন ক্যাপচার ফিল্টার ব্যবহার করি তখন টিশার্কের অভ্যন্তরীণভাবে ঠিক কী হয় তা আমি ভাবছি। বিশেষত, যাক, মাল্টিকাস্ট ডেটা ক্যাপচারের জন্য আমার কাছে নিম্নলিখিত ফিল্টারটি রয়েছে:

host 224.0.26.3 && port 12345

ওয়্যারশার্ক কি:

  1. ওএসকে ইন্টারফেসের সমস্ত প্যাকেটগুলি তার স্থানীয় বাফারে অনুলিপি করতে বলুন
  2. ক্যাপচার ফিল্টার প্রয়োগ করুন
  3. তথ্য রেকর্ড করুন

অথবা

  1. ওএসকে কেবল ইন্টারফেসের সমস্ত প্যাকেটগুলি হোস্ট 224.0.26.1 এবং পোর্ট 12345 থেকে তার স্থানীয় বাফারে অনুলিপি করতে বলুন। । ।
  2. তথ্য রেকর্ড করুন

না পুরোপুরি অন্য কিছু?

networking  wireshark  sniffing  pcap 
Chuu
সূত্র

উত্তর:

2

বেশিরভাগ অপারেটিং সিস্টেমে, এটি

  1. ওএসকে কেবল ইন্টারফেসের সমস্ত প্যাকেটগুলি হোস্ট 224.0.26.1 এবং পোর্ট 12345 থেকে তার স্থানীয় বাফারে অনুলিপি করতে বলুন। । ।

  2. তথ্য রেকর্ড করুন

যদিও কি Wireshark এবং TShark না ইন্টারফেস (গুলি) যার উপর ক্যাপচার এবং কমান্ড লাইন আর্গুমেন্ট হিসাবে ব্যবহার করার জন্য ফিল্টার dumpcap (Wireshark অংশ) চালানো হয়, এবং dumpcap জিজ্ঞেস libpcap Windows এ অপারেটিং সিস্টেম জিজ্ঞাসা করতে (অথবা, উইনপ্যাক্যাপ ড্রাইভার) ফিল্টারটির সাথে মেলে এমন সমস্ত প্যাকেটগুলি এর স্থানীয় বাফারে অনুলিপি করতে।

কিছু অপারেটিং সিস্টেমে (উদাহরণস্বরূপ, সোলারিস 11, এইচপি-ইউএক্স এবং আইআরআইএক্স এর পূর্বে সোলারিস) ওএস কার্নেলের মধ্যে ফিল্টারিং করতে পারে না, সুতরাং লিবপ্যাক্যাপ ওএসকে সমস্ত প্যাকেট সরবরাহ করতে বলে, এবং এটি (libpcap) ) ফিল্টারটি নিজে চালিত করে এবং কেবল প্যাকেট সরবরাহ করে যা ফিল্টারটির সাথে তার কলার - ডাম্পক্যাপের সাথে মিলে যায়, ওয়্যারশার্ক এবং টিশার্কের ক্ষেত্রে।

এটি নির্দিষ্ট করে জানা যে কিছু অপারেটিং সিস্টেমগুলি কার্নেল ফিল্টারিং সমর্থন করে না। আমি সন্দেহ করেছিলাম এটিই ঘটবে, তবে এটির সমর্থন করার মতো কোনও প্রমাণ আমার কাছে নেই, তাই আমি আমার উত্তরটিতে এটিকে খোলা রেখেছিলাম।
allquixotic
1

ওয়্যারশার্কে দুটি ধরণের ফিল্টার রয়েছে: প্রদর্শন ফিল্টার এবং ক্যাপচার ফিল্টার।

ক্যাপচার ফিল্টারগুলির তুলনায় ডিসপ্লে ফিল্টারগুলি আরও নমনীয় (কিছু কিছু জিনিস যা ক্যাপচার ফিল্টারগুলি করতে পারে না) কারণ ডিসপ্লে ফিল্টারগুলি ওয়্যারশার্কের প্যাকেট লগটিতে ইতিমধ্যে অনুলিপি করার পরে ডেটা দেখে ।

ক্যাপচার ফিল্টারগুলি আপনার নেটওয়ার্ক ইন্টারফেসের মধ্য দিয়ে প্রচুর পরিমাণে পৃথক প্রবাহের তথ্য প্রেরণে পারফরম্যান্সের পক্ষে একটি বিশাল সুবিধা হতে পারে তবে আপনি কেবলমাত্র এটির একটি অল্প পরিমাণে ক্যাপচার করতে চান। ডেটা ক্যাপচার ফিল্টারগুলির সাথে মেলে না ফেললে কখনও ওয়্যারশার্কে অনুলিপি হয় না।

আপনি প্রকৃতপক্ষে এটি চেষ্টা করে দেখতে পারেন এবং ইউআইতে পারফরম্যান্সের পার্থক্যটি অনুভব করতে পারেন (এবং সিপিইউ ব্যবহারের পারফরম্যান্স পার্থক্যটি পর্যবেক্ষণ করুন) এরকম কিছু করে:

  1. লোকালহোস্টে একটি দ্রুত ওয়েব সার্ভার শুরু করুন।
  2. একটি শুরু বিরাট HTTP- র ফাইল ডাউনলোড (ডেটার গিগাবাইট)।
  3. লোকালহোস্ট নেটওয়ার্ক ইন্টারফেসে ক্যাপচার ফিল্টার সহ ক্যাপচার করুন যেখানে বিশাল ডাউনলোড হচ্ছে এমন বন্দরটিকে উপেক্ষা করে।
  4. সম্পূর্ণ ক্যাপচার ফিল্টার সাফ করুন, এবং প্রদর্শন ফিল্টার দিকে একই ধরণের ফিল্টার সেট করার জন্য পদক্ষেপ 3 এ পারফরম্যান্স এবং সিপিইউ ব্যবহারের তুলনা করুন।

আইআইআরসি, ওয়্যারশার্ক তার প্যাকেট ক্যাপগুলি ডিস্কে ফেলে দেয় (সুতরাং এটি ওওম হয় না), সম্ভবত "খুব প্রশস্ত" ক্যাপচার ফিল্টারগুলির সাথে যে বাধা আসে তা আপনার ডিস্কের সাবসিস্টেমটি দিয়ে থাকে যা আপনার নেটওয়ার্ক ইন্টারফেসে চলছে সমস্ত কিছু লগ ইন করে।

এ কারণেই, যদি আপনি কেবল একটি নির্দিষ্ট প্রবাহ বা প্রক্রিয়া পর্যবেক্ষণের জন্য খুব ব্যস্ত সার্ভারটি ওয়্যারশার্কিং করেন তবে যুক্তিসঙ্গত ক্যাপচার ফিল্টার সেট করা প্রয়োজনীয় । অন্যথায় ওয়্যারশার্ক উল্লেখযোগ্য সিপিইউ লোড এবং আই / ও থ্রুপুট প্রবর্তন করবে।

উইন্ডোজে যাইহোক, প্যাকেট ক্যাপচারিংয়ের প্রয়োগটি বেশিরভাগ কার্নেলের পাশে ঘটে। Wireshark একটি হাতিয়ার নামক ব্যবহার WinPcap একটি কার্নেল মডিউল, যা আসলে আপনার ক্যাপচার ফিল্টার প্রনয়ন নেটিভ কোড রানটাইম এ ক্যাপচার ফিল্টার বা মিলে না হয় থাকুক বা না থাকুক জন্য একটি অত্যন্ত অপ্টিমাইজ পরীক্ষা তৈরি করুন। যদি ফিল্টারটি মেলে না, প্যাকেটটি কখনও ওয়্যারশার্কের প্রক্রিয়া স্পেসে অনুলিপি করা হয় না।

পিসিএপি কার্নেল সাইড ব্যাকএন্ডের প্রয়োগটি প্ল্যাটফর্মগুলিতে পৃথক হতে পারে এবং এর কার্য সম্পাদন ও দক্ষতাও একই রকম হতে পারে।

allquixotic
সূত্র
এটি বিশেষভাবে আমার প্রশ্নের সমাধান করে না। ওএসশার্ক (এই ক্ষেত্রে টিশার্ক) ওএস স্তরে একই বক্স স্কেলটিতে একাধিক ক্যাপচার কীভাবে তা নির্ধারণ করার জন্য আমি ঠিক যা জানার চেষ্টা করছি is
চুউ
আপনার সঠিক অপারেটিং সিস্টেম এবং ওয়্যারশার্ক / tshark সংস্করণ উল্লেখ না করে জানা অসম্ভব। আমার সম্পাদনা দেখুন। আমি মূলত আত্মবিশ্বাসের সাথে বলতে পারি যে উইন্ডোজের উইনপ্যাক্যাপ ব্যাকএন্ডের ক্ষেত্রে কোনও প্যাকেট ক্যাপচার ফিল্টারের সাথে মেলে না এমন ক্ষেত্রে কার্নেল থেকে ইউজারস্পেসে কোনও ডেটা অনুলিপি করা হয়নি (সুতরাং কোনও প্রসঙ্গের স্যুইচ নেই) । এটি কীভাবে লিনাক্স, বিএসডি ইত্যাদিতে কাজ করে সে সম্পর্কে কোনও ধারণা নেই আপনাকে প্রাসঙ্গিক ক্যাপচার ড্রাইভারগুলির জন্য কার্নেল উত্স কোডটি দেখতে হবে।
allquixotic
নোট করুন যে "কোনও ডেটা নেই" এর অর্থ হ'ল প্যাকেটের পেললোড ক্যাপচার করা হয়নি। বিভিন্ন প্রযুক্তিগত কারণে প্যাকেট শিরোনামটি ইউজারস্পেসে অনুলিপি করার প্রয়োজন হতে পারে, বা কার্নেলের জন্য ওয়্যারশার্ককে বলতে হবে যে এটি কোনও প্যাকেট বাদ দিয়েছে, তবে এটি প্রকৃত ডেটা পেলোডের চেয়ে যোগাযোগ / সমন্বয়ের বার্তা। ডেটা পে-লোড কেবল একটি ইতিবাচক ম্যাচে অনুলিপি করা হয়।
অ্যালকুইসোটিক
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.