Wireshark遥控捕捉
Falko写了一个很好的教程,并提供了有关Wireshark基本用法的截图 。
这个简短的教程没有屏幕截图,而是Wireshark的一个稍高一些的应用程序,即在一个框上进行捕获,并在另一个框上实时显示捕获的数据。
初步
以下文章介绍了我安装和使用该软件的方式,我不会保证以同样的方式为您服务。 你应该有一些基本知识在shell中做事情。 由于Wireshark运行在各种各样的平台上,所以几乎可以在Wireshark和Open-SSH支持的每一个平台上运行。 在我的Debian和Ubuntu中,
问题
事实上,我们对DNS有一些微妙的问题,即反向DNS。 我们的设置很简单,我们有本地DNS服务器,将所有无法解析的查询转发到上行DNS,这些应该注意进一步的名称解析。 上行DNS由另一个组织管理,导致通常指责“我们没有罪,我们的设备表现良好,我们必须向您开具成本,blabla ...”。 叹。 所以我想到了如何进一步分析这个问题,并迅速记住我的系统描述在https://www.youcl.com/info/6228 。 完美我以为,盒子已经坐在上行链路旁边,应该很容易监控所有上行链路上的流量,并查看所有DNS相关流量,看看会发生什么。
我的第一个想法是直接在这个盒子上安装Wireshark,并在X11转发的帮助下查看上行链路上发生了什么。 但是没有足够的磁盘空间来安装Wireshark和整个X11相关的库。
解决方案
我的下一个想法是将探测器上的流量捕获到文件中,将该文件复制到我的正常框中,并将其读入Wireshark。 但是,如何繁琐,长时间地复制文件,或至少将驱动器安装在网上。 但解决方案非常简单。 在探针上安装tshark(与Wireshark相关的textmode相关的小弟弟),借助ssh远程调用它,并将tshark的输出直接管入Wireshark! 这个解决方案来自Wireshark Wiki,但是简单性让我感到非常惊讶,写下这个简短的教程。
- 在探头上设置无密码ssh登录,例如在这里所述,并检查它是否正常工作。
- 在你的Wireshark所在的地方盒子上,等待做一些有益的事情,简单地称之为它
wireshark -k -i <( ssh -l root IP-of-probe /usr/bin/tshark -i eth0 -w - port 53 )
享受。 流量在探头上过滤,这样您就不会被可能通过上行链路传播的大量软件包敲落。 捕获的流量通过安全,加密的ssh连接从探测器传输到可视化框,您可以实时查看上行链路上发生的情况。
在我的情况下,我不需要过滤掉ssh流量(如Wireshark Wiki中的示例),因为嗅探在eth0上完成,并且ssh流量超过eth1。
在Wireshark Wiki中使用命名管道描述的其他方法,但是使用ssh的方法看起来最容易设置。
一个小问题,我在做这个,结束Wireshark没有结束tshark在探测器,但a
pkill tshark在探针帮助下,或者,如果您没有登录探测器
ssh root@probe pkill tshark也应该工作。
关于我们的DNS问题,我可以毫不费力地看看发生了什么。 ;-)
3.网址
- Falko的Wireshark教程: http : //www.youcl.com/network-analysis-with-wireshark-on-ubuntu-9.10
- 我的ntop探针: http : //www.youcl.com/trafficanalysis-using-debian-lenny
- Wireshark + tshark: http : //www.wireshark.org/
- Wireshark维基: http : //wiki.wireshark.org/
- libpcap + tcpdump: http : //www.tcpdump.org/
- SSH: http : //www.openssh.org/
- 无密码SSH: http : //www.debian-administration.org/articles/152