Wireshark远程捕获

Wireshark遥控捕捉

Falko写了一个很好的教程,并提供了有关Wireshark基本用法的截图

这个简短的教程没有屏幕截图,而是Wireshark的一个稍高一些的应用程序,即在一个框上进行捕获,并在另一个框上实时显示捕获的数据。

初步

以下文章介绍了我安装和使用该软件的方式,我不会保证以同样的方式为您服务。 你应该有一些基本知识在shell中做事情。 由于Wireshark运行在各种各样的平台上,所以几乎可以在Wireshark和Open-SSH支持的每一个平台上运行。 在我的Debian和Ubuntu中,

问题

事实上,我们对DNS有一些微妙的问题,即反向DNS。 我们的设置很简单,我们有本地DNS服务器,将所有无法解析的查询转发到上行DNS,这些应该注意进一步的名称解析。 上行DNS由另一个组织管理,导致通常指责“我们没有罪,我们的设备表现良好,我们必须向您开具成本,blabla ...”。 叹。 所以我想到了如何进一步分析这个问题,并迅速记住我的系统描述在https://www.youcl.com/info/6228 。 完美我以为,盒子已经坐在上行链路旁边,应该很容易监控所有上行链路上的流量,并查看所有DNS相关流量,看看会发生什么。

我的第一个想法是直接在这个盒子上安装Wireshark,并在X11转发的帮助下查看上行链路上发生了什么。 但是没有足够的磁盘空间来安装Wireshark和整个X11相关的库。

解决方案

我的下一个想法是将探测器上的流量捕获到文件中,将该文件复制到我的正常框中,并将其读入Wireshark。 但是,如何繁琐,长时间地复制文件,或至少将驱动器安装在网上。 但解决方案非常简单。 在探针上安装tshark(与Wireshark相关的textmode相关的小弟弟),借助ssh远程调用它,并将tshark的输出直接管入Wireshark! 这个解决方案来自Wireshark Wiki,但是简单性让我感到非常惊讶,写下这个简短的教程。

  • 在探头上设置无密码ssh登录,例如在这里所述,并检查它是否正常工作。
  • 在你的Wireshark所在的地方盒子上,等待做一些有益的事情,简单地称之为它
wireshark -k -i <( ssh -l root IP-of-probe /usr/bin/tshark -i eth0 -w - port 53 )

享受。 流量在探头上过滤,这样您就不会被可能通过上行链路传播的大量软件包敲落。 捕获的流量通过安全,加密的ssh连接从探测器传输到可视化框,您可以实时查看上行链路上发生的情况。

在我的情况下,我不需要过滤掉ssh流量(如Wireshark Wiki中的示例),因为嗅探在eth0上完成,并且ssh流量超过eth1。

在Wireshark Wiki中使用命名管道描述的其他方法,但是使用ssh的方法看起来最容易设置。

一个小问题,我在做这个,结束Wireshark没有结束tshark在探测器,但a

pkill tshark
在探针帮助下,或者,如果您没有登录探测器
ssh root@probe pkill tshark
也应该工作。

关于我们的DNS问题,我可以毫不费力地看看发生了什么。 ;-)

3.网址

赞(52) 打赏
未经允许不得转载:优客志 » 系统运维
分享到:

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏