Як можна нюхати трафік віддаленої машини за допомогою проводки?

Я можу нюхати трафік свого локального ПК, але я хотів би знати, як я нюхаю трафік віддаленої машини за допомогою проводки?

У режимі захоплення я вибираю віддалений інтерфейс і ввожу свій віддалений ip покажіть мені помилку коду (10061). Що я повинен зробити?

На Linux і OSX ви можете досягти цього, запустивши tcpdump над ssh і прослухавши проводку.

1. Створіть названу трубу:

   $ mkfifo /tmp/remote

2. Запустіть проводку з командного рядка

   $ wireshark -k -i /tmp/remote

3. Запустіть tcpdump над ssh на віддаленій машині і перенаправляйте пакети на названу трубу:

   $ ssh root@firewall "tcpdump -s 0 -U -n -w - -i eth0 not port 22" > /tmp/remote

Джерело: http://blog.nielshorn.net/2010/02/using-wireshark-with-remote-capturing/

Я використовую цей oneliner як корінь. Дуже корисно!

ssh root@sniff_server_ip -p port tcpdump -U -s0 'not port 22' -i eth0 -w - | wireshark -k -i -

Останнє -перед de |- це перенаправлення цього виводу і використовується для стандартного введення за допомогою проводки. -kВаріант в Wireshark означає «почати inmidiately нюхає

Один із підходів - використовувати дзеркальний або пролітний порт на своєму комутаторі. Якщо ваш комутатор недостатньо інтелектуальний, ви також можете поставити невеликий концентратор між з'єднанням перемикач / хост-захоплення. Ви підключаєте фізичне посилання зі свого прослуховуючого хоста до цього порту / концентратора, і тоді ви бачите весь трафік, що перетинає пристрій. Крім того, вам потрібно буде встановити програмне забезпечення для захоплення пакетів у більш стратегічному місці у вашій мережі, наприклад, прикордонний брандмауер / маршрутизатор.

Ви можете використовувати дескриптор файлів для підключення та отримання пакетів, sshа також передайте їх локально:

wireshark -i <(ssh root@firewall tcpdump -s 0 -U -n -w - -i eth0 not port 22)

Ви відкриєте проводку і покаже вам "Інтерфейс", як /dev/fd/63дескриптор файлів, що містить дані з віддаленої системи.

перегляньте інформацію про налаштування віддаленого комп'ютера, щоб дозволити локальній машині підключатися та захоплювати

http://wiki.wireshark.org/CaptureSetup/WinPcapRemote

Відповідно до RHEL, відповідь Конрада не працювала для мене, оскільки tcpdumpвимагає root, і я маю лише доступ до sudo. Що працювало, це створити додатковий віддалений файл, який я можу прочитати з:

remote:~$ mkfifo pcap
remote:~$ sudo tcpdump -s 0 -U -n -w - -i eth0 not port 22 > pcap

і надіслати дані окремим з'єднанням:

local:~$ mkfifo pcap
local:~$ ssh user@host "cat pcap" > pcap

і нарешті запустити Wireshark

local:~$ wireshark -k -i pcap

Ви можете нюхати лише той трафік, який робить це вам. Тож Джо А до Джо Б ніколи не підходить до вашого ПК, тому ви його не бачите.

Єдиний спосіб - це потрапити на трафік або отримати трафік до вас. Щоб дістатися до трафіку, потрібно підключення до маршрутизатора або хорошого комутатора або концентратора десь посередині їх з'єднання. Щоб отримати трафік до вас, потрібно ARP отруїти деякі комутатори, щоб вони думали, що вони їх.

На додаток до попередніх відповідей ncможе бути корисна також версія з netcat :

Віддалений хост:

mkfifo /tmp/mypcap.fifo

tcpdump -i em0 -s 0 -U -w - > /tmp/mypcap.fifo

nc -l 10000 < /tmp/mypcap.fifo

Місцевий хост:

wireshark -ki <(nc 192.168.1.1 10000)

Зверніть увагу на цей метод: він робить незахищений порт відкритим для всіх інтерфейсів, тому обов'язково фільтруйте вхідні з'єднання за допомогою правил брандмауера.