मैं वायरशोर के साथ रिमोट मशीन के ट्रैफ़िक को कैसे सूँघ सकता हूं?

मैं अपने स्थानीय पीसी के ट्रैफ़िक को सूँघ सकता हूँ, लेकिन मैं यह जानना चाहूँगा कि मैं वायरशर्क द्वारा रिमोट मशीन के ट्रैफ़िक को कैसे सूँघता हूँ?

जब कैप्चर ऑप्शन में मैं रिमोट इंटरफेस का चयन करता हूं और अपना रिमोट आईपी दर्ज करता हूं तो मुझे एरर दिखाई देता है ।कोड (10061)। मुझे क्या करना चाहिए?

लिनक्स और OSX पर आप ssh पर tcpdump चलाकर और वायरशर्क पाइप पर सुनकर इसे प्राप्त कर सकते हैं।

1. एक नामित पाइप बनाएँ:

   $ mkfifo /tmp/remote

2. कमांड लाइन से वायरशर्क शुरू करें

   $ wireshark -k -i /tmp/remote

3. अपनी दूरस्थ मशीन पर ssh पर tcpdump चलाएँ और पैकेट को नामित पाइप पर पुनर्निर्देशित करें:

   $ ssh root@firewall "tcpdump -s 0 -U -n -w - -i eth0 not port 22" > /tmp/remote

स्रोत: http://blog.nielshorn.net/2010/02/use-wireshark-with-remote-capturing/

मैं इस ऑनलाइनर को रूट के रूप में उपयोग करता हूं। बहुत उपयोगी है!

ssh root@sniff_server_ip -p port tcpdump -U -s0 'not port 22' -i eth0 -w - | wireshark -k -i -

-डे |से पहले अंतिम उस आउटपुट का पुनर्निर्देशन है और इसे वायरशार्क द्वारा मानक इनपुट के लिए उपयोग किया जाता है। -kWireshark साधन में विकल्प "सूँघने inmidiately शुरू

एक दृष्टिकोण यह है कि आपके स्विच पर दर्पण या स्पैन पोर्ट कहा जाता है । यदि आपका स्विच पर्याप्त रूप से बौद्धिक नहीं है, तो आप स्विच / होस्ट-टू-कैप्चर कनेक्शन के लिए एक छोटा हब भी डाल सकते हैं। आप अपने सुनने वाले होस्ट से उस पोर्ट / हब तक एक भौतिक लिंक कनेक्ट करते हैं और फिर आप डिवाइस को पार करने वाले सभी ट्रैफ़िक को देख सकते हैं। वैकल्पिक रूप से, आपको अपने पैकेट कैप्चर सॉफ़्टवेयर को अपने नेटवर्क में सीमावर्ती फ़ायरवॉल / राउटर की तरह अधिक रणनीतिक स्थान पर स्थापित करना होगा।

आप पैकेट से कनेक्ट करने और प्राप्त करने के लिए फ़ाइल डिस्क्रिप्टर का उपयोग कर सकते हैं sshऔर इसे स्थानीय स्तर पर वायरशर्क पर पाइप कर सकते हैं:

wireshark -i <(ssh root@firewall tcpdump -s 0 -U -n -w - -i eth0 not port 22)

आप वायरशर्क खोलेंगे और आपको "इंटरफ़ेस" जैसे दिखाएंगे /dev/fd/63, जो कि फाइल डिस्क्रिप्टर है जिसमें रिमोट सिस्टम से डेटा है।

दूरस्थ कंप्यूटर सेट करने के बारे में जानकारी देखें, अपने स्थानीय मशीन को कनेक्ट करने और कैप्चर करने की अनुमति दें

http://wiki.wireshark.org/CaptureSetup/WinPcapRemote

आरएचईएल के तहत, कोनराड के जवाब ने मेरे लिए काम नहीं किया क्योंकि tcpdumpरूट की आवश्यकता होती है, और मेरे पास केवल सुडो एक्सेस है। एक अतिरिक्त सुदूर पंद्रह को बनाने के लिए क्या काम किया गया था जिसे मैं यहां से पढ़ सकता हूं:

remote:~$ mkfifo pcap
remote:~$ sudo tcpdump -s 0 -U -n -w - -i eth0 not port 22 > pcap

और एक अलग कनेक्शन द्वारा डेटा भेजें:

local:~$ mkfifo pcap
local:~$ ssh user@host "cat pcap" > pcap

और अंत में Wireshark शुरू करें

local:~$ wireshark -k -i pcap

आप केवल ट्रैफ़िक को सूँघ सकते हैं जो इसे आपके लिए बनाता है। इसलिए जो ए बी में जा रहा है जो आपके पीसी के पास कभी नहीं आता है, इसलिए आप इसे नहीं देख सकते।

केवल आपके लिए ट्रैफ़िक प्राप्त करना या आपके लिए ट्रैफ़िक प्राप्त करना है। ट्रैफ़िक में जाने के लिए एक राउटर या अच्छे स्विच या हब के कनेक्शन की आवश्यकता होती है, जो उनके कनेक्शन के बीच में होता है। आपको ट्रैफ़िक प्राप्त करने के लिए, आपको ARP के कुछ स्विच को जहर देने की आवश्यकता होगी ताकि वे आपके बारे में सोचें।

पिछले उत्तरों के अलावा, netcat वाला संस्करण ncभी उपयोगी हो सकता है:

रिमोट होस्ट:

mkfifo /tmp/mypcap.fifo

tcpdump -i em0 -s 0 -U -w - > /tmp/mypcap.fifo

nc -l 10000 < /tmp/mypcap.fifo

स्थानीय होस्ट:

wireshark -ki <(nc 192.168.1.1 10000)

इस विधि के बारे में ध्यान दें: यह असुरक्षित पोर्ट को सभी इंटरफेस के लिए खुला बनाता है, इसलिए फ़ायरवॉल नियमों के साथ आने वाले कनेक्शन को फ़िल्टर करना सुनिश्चित करें।