我想在启动后或在定义的时间段内在Raspberry Pi 上运行tshark,并将捕获的数据包保存到文件中。然后应该可以从我的Windows 笔记本电脑上的Wireshark 访问该文件。我想这样做是因为我想捕获数据包,例如当我不在家时,然后可以在我回家时分析捕获的数据。那可能吗?如何在启动后或在定义的时间段内开始捕获文件,然后将其发送到笔记本电脑上的Wireshark?
【问题讨论】:
标签: raspberry-pi wireshark sniffing tshark
tcpdump -s 0 -i eth0 -W 1 -w dump.pcap -G 3600 port ftp or http
将继续将所有匹配的数据包写入 dump.pcap 3600 秒。然后,您可以将该文件复制到您的计算机并使用 Wireshark 的打开对话框正常加载它。
如果需要,您也可以使用 dumpcap 甚至 tshark,但 tcpdump 非常适合。
关于在系统启动时运行,checkout:
Run automatically program on startup under linux ubuntu 或者只是将您的 tcpdump 行附加到 & 末尾到 /etc/rc.local。
【讨论】:
你可以在你的主机上做这样的事情。
ssh user@remotehost /usr/local/bin/tshark -l -w - | wireshark -k -i -
这会在远程机器上打开一个 tshark 并将其连接到本地机器上的 wireshark。
【讨论】: