Anwendung mit Ausgabe ähnlich der GUI-Ausgabe von „WireShark“

9

Ich weiß, dass WireShark die Erfassung von Live-Paketen sowie die Anzeige von Details in der GUI ermöglicht. Gibt es ein ähnliches Programm, das auf einer CLI und nicht auf einer GUI ausgeführt wird? Dies ist für die Verwendung bei einer Serverinstallation vorgesehen, bei der nur die CLI verfügbar ist (und bei der der Speicherplatz so begrenzt ist, dass die Abhängigkeiten für die wiresharkPakete nicht installiert werden können (dh die Pakete für die GUI).

Thomas Ward
quelle

Antworten:

10

Sicher, tshark (Text Shark) ist das gleiche Programm, aber mit einer nicht interaktiven Befehlszeilenschnittstelle.

Sie können tshark auch auf dem Server ausführen und die Captures über ssh an eine Wireshark-GUI übertragen, die an einer anderen Stelle ausgeführt wird.

Zum Beispiel:

  mbp@joy% sudo tshark -i wlan0 -p  -R 'http'
  Capturing on wlan0
  3.929359 192.168.178.22 -> 66.102.11.104 HTTP GET / HTTP/1.1 
  4.104763 66.102.11.104 -> 192.168.178.22 HTTP HTTP/1.1 301 Moved Permanently  (text/html)
  4.118925 192.168.178.22 -> 66.102.11.104 HTTP GET / HTTP/1.1 
  4.295749 66.102.11.104 -> 192.168.178.22 HTTP HTTP/1.1 302 Found  (text/html)
  4.355713 192.168.178.22 -> 66.102.11.104 HTTP GET / HTTP/1.1 
  4.560568 66.102.11.104 -> 192.168.178.22 HTTP HTTP/1.1 200 OK  (text/html)
  4.588767 192.168.178.22 -> 66.102.11.104 HTTP GET /images/nav_logo40.png HTTP/1.1 

Sie können dies auch tun, tshark ... |tee packetlogum sowohl zum Bildschirm als auch zur Datei zu gelangen.

Alternativ tshark -w stuff.pcapkönnen Sie auch die Rohpakete in diese Datei schreiben, die Sie dann auf einen anderen Computer kopieren und in der Wireshark-GUI öffnen können, wenn Sie eine eingehendere Untersuchung durchführen möchten.

Poolie
quelle
1
Könnte ich sudo tshark -i wlan0 -p -R 'http' > packetlogs.txtim Terminal auch so etwas oder ähnliches tun, damit alles in einer Datei protokolliert wird, und diesen Befehl möglicherweise in einer screenSitzung oder so etwas ausführen ? Ich würde es hassen, eine zu machen tcpdump, weil das nach einer Weile eine PITA sein würde.
Thomas Ward
1
FÜR DIE AUFNAHME ... Ich habe tsharkungefähr eine Stunde lang getestet und die Ausgabe mit der Ausgabe von Wireshark verglichen. Es zeigt genau, was ich brauche (die komplette Paketanalyse) in tsharkder Ausgabe, insb. In der Datei hatte ich die Ausgabe zu gehen. Funktioniert jetzt für mich, es wird eine großartige CLI-Alternative zu Wireshark auf diese Weise sein :)
Thomas Ward
1

tshark Installieren Sie tshark ist eine gute Option.

Eine Alternative ist tcpdump Installieren Sie tcpdump , ein bekannter Vorgänger. Es ist auf anderen Plattformen weit verbreitet, sodass Sie möglicherweise darauf stoßen, auch wenn Sie es nicht auf Ihrem Server verwenden.

belacqua
quelle
Ja, ich habe Probleme mit tcpdump (im Grunde genommen ist es eine PITA, weil es auf meinem System einfach nicht gut funktioniert: /)
Thomas Ward
@ EvilP Dann könnte tshark der richtige Weg sein. Ich benutze tcpdump hauptsächlich auf Systemen, auf denen es verfügbar ist und wireshark / tshark nicht. Normalerweise ziehe ich die Captures sowieso zurück in die Wireshark-GUI.
Belacqua