我正在使用 Wireshark 2.4.6 便携版(从他们的网站下载),我正在尝试配置远程捕获 我不清楚我应该在远程捕获命令行中使用什么。
对此有帮助,但它指的是 CLI 选项 https://www.wireshark.org/docs/man-pages/sshdump.html
在上面的页面上,他们说使用 sshdump CLI 相当于这个 Unix CLI
ssh remoteuser@remotehost -p 22222 'tcpdump -U -i IFACE -w -' > FILE & $ wireshark FILE w
【问题讨论】:
标签: wireshark
您只需在该窗口中配置 SSH 设置,即可让 Wireshark 登录并运行 tcpdump。
您可以将捕获命令留空,它将捕获eth0。如果您有特定要求(例如,如果您需要指定接口名称),则只想更改它。
您可能希望将捕获过滤器设置为 not ((host x.x.x.x) and port 22)(将 x.x.x.x 替换为您自己的 IP 地址),这样屏幕就不会被自己的 SSH 流量淹没。
【讨论】:
以下作为远程捕获命令工作:
/usr/bin/dumpcap -i eth0 -q -f 'not port 22' -w -
将eth0 替换为捕获流量的接口,将not port 22 替换为远程捕获过滤器,记住不要捕获您自己的ssh 流量。
这假设你有configured dumpcap on the remote host to run without requiring sudo。
指定远程捕获命令时,其他捕获字段似乎被忽略。
在 Ubuntu 20.04(两端)和 wireshark 3.2.3-1 上测试。
默认的远程捕获命令似乎是 tcpdump。
我没有找到任何解释远程 ssh 捕获的 GUI 对话框选项如何转换为远程主机命令的文档。
【讨论】:
关于 sshdump,如果您在通过命令行查找命令时遇到问题,请注意,默认情况下它不在所有平台上的系统路径中。
对于 GNU/Linux(例如,在我的例子中,Ubuntu 20.04,wireshark v3.2.3)它位于 /usr/lib/x86_64-linux-gnu/wireshark/extcap/ 下。
如果您的系统不是这种情况,确保安装 mlocate (sudo apt install mlocate) 可能会很方便,然后使用 locate sshdump 查找其路径(您可能会在同一位置找到一些其他有趣的工具工具- 使用man pages 或--help 了解更多信息)。
【讨论】: