Ich kann den Datenverkehr meines lokalen PCs abhören, möchte aber wissen, wie ich den Datenverkehr einer Remote-Maschine mit Wireshark abhören kann.
Bei der Aufnahmeoption wähle ich die Remote-Schnittstelle und gebe meine Remote-IP ein. Zeige mir den error.code (10061). Was sollte ich tun?
Antworten:
Unter Linux und OSX können Sie dies erreichen, indem Sie tcpdump über ssh ausführen und wireshark die Pipe abhören lassen.
Erstellen Sie eine Named Pipe:
$ mkfifo /tmp/remote
Starten Sie wireshark von der Kommandozeile aus
$ wireshark -k -i /tmp/remote
Führen Sie tcpdump über ssh auf Ihrem Remote-Computer aus und leiten Sie die Pakete an die Named Pipe um:
$ ssh root@firewall "tcpdump -s 0 -U -n -w - -i eth0 not port 22" > /tmp/remote
Quelle: http://blog.nielshorn.net/2010/02/using-wireshark-with-remote-capturing/
quelle
ssh root@{MY_VPS_IP} -p 27922 "tcpdump -s 0 -U -n -w - -i eth0 not port 27922" > /tmp/remote
Können Sie mir sagen, warum?Ich benutze diesen Oneliner als root. Ist sehr nützlich!
ssh root@sniff_server_ip -p port tcpdump -U -s0 'not port 22' -i eth0 -w - | wireshark -k -i -
Das letzte
-
vor de|
ist die Umleitung dieser Ausgabe und wird von wireshark als Standardeingabe verwendet. Die-k
Option in wireshark bedeutet "Sofort schnüffeln"quelle
Ein Ansatz besteht darin, einen sogenannten Mirror- oder Span-Port an Ihrem Switch zu verwenden. Wenn Ihr Switch nicht intelligent genug ist, können Sie auch einen kleinen Hub zwischen die Switch- / Host-to-Capture-Verbindung stellen. Sie verbinden eine physische Verbindung von Ihrem Abhörhost mit diesem Port / Hub und sehen dann den gesamten Datenverkehr, der das Gerät passiert. Alternativ müssen Sie Ihre Paketerfassungssoftware an einem strategisch günstigeren Ort in Ihrem Netzwerk installieren, z. B. an einer Grenz-Firewall / einem Grenz-Router.
quelle
Sie können einen Dateideskriptor verwenden, um eine Verbindung zu den Paketen
ssh
herzustellen, diese zu empfangen und lokal an wireshark weiterzuleiten:wireshark -i <(ssh root@firewall tcpdump -s 0 -U -n -w - -i eth0 not port 22)
Du wireshark öffnest und zeigst dir das "Interface"
/dev/fd/63
, das der Dateideskriptor ist, der Daten vom entfernten System enthält.quelle
Informationen zum Einrichten des Remotecomputers finden Sie, damit Ihr lokaler Computer eine Verbindung herstellen und aufzeichnen kann
http://wiki.wireshark.org/CaptureSetup/WinPcapRemote
quelle
Unter RHEL hat die Antwort von konrad bei mir nicht funktioniert, da
tcpdump
root erforderlich ist und ich nur sudo-Zugriff habe. Die Aufgabe bestand darin, ein zusätzliches Remote-Fifo zu erstellen, von dem ich lesen kann:und senden Sie die Daten über eine separate Verbindung:
und endlich Wireshark starten
quelle
Sie können nur den Verkehr riechen, der Sie erreicht. Joe A kommt also nie in die Nähe Ihres PCs, sodass Sie ihn nicht sehen können.
Nur so können Sie zum Verkehr kommen oder den Verkehr zu Ihnen bringen. Um an den Datenverkehr zu gelangen, ist eine Verbindung zu einem Router oder einem guten Switch oder Hub erforderlich, der sich in der Mitte der Verbindung befindet. Um den Datenverkehr zu Ihnen zu leiten, müssen Sie einige der Switches mit ARP vergiften, damit sie Ihrer Meinung nach Ihre eigenen sind.
quelle
Zusätzlich zu früheren Antworten kann auch eine Version mit Netcat
nc
nützlich sein:Remote-Host:
mkfifo /tmp/mypcap.fifo
tcpdump -i em0 -s 0 -U -w - > /tmp/mypcap.fifo
nc -l 10000 < /tmp/mypcap.fifo
Lokaler Gastgeber:
wireshark -ki <(nc 192.168.1.1 10000)
Hinweis zu dieser Methode: Der unsichere Port wird für alle Schnittstellen geöffnet. Filtern Sie daher eingehende Verbindungen mit Firewall-Regeln.
quelle