मैं वायरशोर के साथ रिमोट मशीन के ट्रैफ़िक को कैसे सूँघ सकता हूं?


38

मैं अपने स्थानीय पीसी के ट्रैफ़िक को सूँघ सकता हूँ, लेकिन मैं यह जानना चाहूँगा कि मैं वायरशर्क द्वारा रिमोट मशीन के ट्रैफ़िक को कैसे सूँघता हूँ?

जब कैप्चर ऑप्शन में मैं रिमोट इंटरफेस का चयन करता हूं और अपना रिमोट आईपी दर्ज करता हूं तो मुझे एरर दिखाई देता है ।कोड (10061)। मुझे क्या करना चाहिए?


5
आप केवल ट्रैफ़िक को सूँघ सकते हैं जिसे आपका नेटवर्क इंटरफ़ेस देख रहा है। यदि नेटवर्क स्विच पैकेट है तो रिमोट मशीन आपको नहीं भेजी जाएगी। BTW: अपनी स्वीकृति दर में सुधार करने का प्रयास करें।
मट्टियो

जवाबों:


54

लिनक्स और OSX पर आप ssh पर tcpdump चलाकर और वायरशर्क पाइप पर सुनकर इसे प्राप्त कर सकते हैं।

  1. एक नामित पाइप बनाएँ:

    $ mkfifo /tmp/remote

  2. कमांड लाइन से वायरशर्क शुरू करें

    $ wireshark -k -i /tmp/remote

  3. अपनी दूरस्थ मशीन पर ssh पर tcpdump चलाएँ और पैकेट को नामित पाइप पर पुनर्निर्देशित करें:

    $ ssh root@firewall "tcpdump -s 0 -U -n -w - -i eth0 not port 22" > /tmp/remote

स्रोत: http://blog.nielshorn.net/2010/02/use-wireshark-with-remote-capturing/


क्या राउटर पर राउटर से गुजरने वाले पैकेट को इस तरह से पकड़ना संभव है, या यह असंभव है?
inf3rno

यह भी खूब रही। मेरा 2c: [ssh root] की अनुमति देना आम तौर पर सलाह नहीं दी जाती है, लेकिन आप / etc / ssh / sshd_config में [Match User] लाइन में रूट जोड़कर इसे अस्थायी रूप से टॉगल कर सकते हैं।
मूडबॉम

यह मेरे लिए काम नहीं कर रहा है, ssh root@{MY_VPS_IP} -p 27922 "tcpdump -s 0 -U -n -w - -i eth0 not port 27922" > /tmp/remoteक्या आप मुझे बता सकते हैं क्यों?
फीनिक्स

@infmo यदि राउटर सीधे tcpdump चला सकता है तो हाँ यह संभव होना चाहिए। मेरा tcpdump स्थापित करने के लिए जगह नहीं है। कम अंत राउटर के लिए असामान्य नहीं है।
व्हेडिडथैटेनामेक्रोमफ्रॉम

21

मैं इस ऑनलाइनर को रूट के रूप में उपयोग करता हूं। बहुत उपयोगी है!

ssh root@sniff_server_ip -p port tcpdump -U -s0 'not port 22' -i eth0 -w - | wireshark -k -i -

-डे |से पहले अंतिम उस आउटपुट का पुनर्निर्देशन है और इसे वायरशार्क द्वारा मानक इनपुट के लिए उपयोग किया जाता है। -kWireshark साधन में विकल्प "सूँघने inmidiately शुरू


सबसे अच्छा पहला उत्तर मैंने कभी देखा है।
sjas

10

एक दृष्टिकोण यह है कि आपके स्विच पर दर्पण या स्पैन पोर्ट कहा जाता है । यदि आपका स्विच पर्याप्त रूप से बौद्धिक नहीं है, तो आप स्विच / होस्ट-टू-कैप्चर कनेक्शन के लिए एक छोटा हब भी डाल सकते हैं। आप अपने सुनने वाले होस्ट से उस पोर्ट / हब तक एक भौतिक लिंक कनेक्ट करते हैं और फिर आप डिवाइस को पार करने वाले सभी ट्रैफ़िक को देख सकते हैं। वैकल्पिक रूप से, आपको अपने पैकेट कैप्चर सॉफ़्टवेयर को अपने नेटवर्क में सीमावर्ती फ़ायरवॉल / राउटर की तरह अधिक रणनीतिक स्थान पर स्थापित करना होगा।


मेरे पास कम या ज्यादा दिलचस्प समस्या है जिसे इस तरह हल किया जा सकता है। क्या आप इसका जवाब दे सकते हैं? serverfault.com/questions/855245/catch-tcp-packets-with-router
inf3rno

4

आप पैकेट से कनेक्ट करने और प्राप्त करने के लिए फ़ाइल डिस्क्रिप्टर का उपयोग कर सकते हैं sshऔर इसे स्थानीय स्तर पर वायरशर्क पर पाइप कर सकते हैं:

wireshark -i <(ssh root@firewall tcpdump -s 0 -U -n -w - -i eth0 not port 22)

आप वायरशर्क खोलेंगे और आपको "इंटरफ़ेस" जैसे दिखाएंगे /dev/fd/63, जो कि फाइल डिस्क्रिप्टर है जिसमें रिमोट सिस्टम से डेटा है।


1

दूरस्थ कंप्यूटर सेट करने के बारे में जानकारी देखें, अपने स्थानीय मशीन को कनेक्ट करने और कैप्चर करने की अनुमति दें

http://wiki.wireshark.org/CaptureSetup/WinPcapRemote


जब भी यह सैद्धांतिक रूप से प्रश्न का उत्तर दे सकता है, तो उत्तर के आवश्यक भागों को शामिल करना और संदर्भ के लिए लिंक प्रदान करना बेहतर होगा
स्कॉट पैक

1

आरएचईएल के तहत, कोनराड के जवाब ने मेरे लिए काम नहीं किया क्योंकि tcpdumpरूट की आवश्यकता होती है, और मेरे पास केवल सुडो एक्सेस है। एक अतिरिक्त सुदूर पंद्रह को बनाने के लिए क्या काम किया गया था जिसे मैं यहां से पढ़ सकता हूं:

remote:~$ mkfifo pcap
remote:~$ sudo tcpdump -s 0 -U -n -w - -i eth0 not port 22 > pcap

और एक अलग कनेक्शन द्वारा डेटा भेजें:

local:~$ mkfifo pcap
local:~$ ssh user@host "cat pcap" > pcap

और अंत में Wireshark शुरू करें

local:~$ wireshark -k -i pcap

0

आप केवल ट्रैफ़िक को सूँघ सकते हैं जो इसे आपके लिए बनाता है। इसलिए जो ए बी में जा रहा है जो आपके पीसी के पास कभी नहीं आता है, इसलिए आप इसे नहीं देख सकते।

केवल आपके लिए ट्रैफ़िक प्राप्त करना या आपके लिए ट्रैफ़िक प्राप्त करना है। ट्रैफ़िक में जाने के लिए एक राउटर या अच्छे स्विच या हब के कनेक्शन की आवश्यकता होती है, जो उनके कनेक्शन के बीच में होता है। आपको ट्रैफ़िक प्राप्त करने के लिए, आपको ARP के कुछ स्विच को जहर देने की आवश्यकता होगी ताकि वे आपके बारे में सोचें।


0

पिछले उत्तरों के अलावा, netcat वाला संस्करण ncभी उपयोगी हो सकता है:

रिमोट होस्ट:

mkfifo /tmp/mypcap.fifo

tcpdump -i em0 -s 0 -U -w - > /tmp/mypcap.fifo

nc -l 10000 < /tmp/mypcap.fifo

स्थानीय होस्ट:

wireshark -ki <(nc 192.168.1.1 10000)

इस विधि के बारे में ध्यान दें: यह असुरक्षित पोर्ट को सभी इंटरफेस के लिए खुला बनाता है, इसलिए फ़ायरवॉल नियमों के साथ आने वाले कनेक्शन को फ़िल्टर करना सुनिश्चित करें।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.