Làm cách nào tôi có thể đánh hơi được lưu lượng của máy từ xa bằng wireshark?

Tôi có thể đánh hơi lưu lượng của máy tính cục bộ nhưng tôi muốn biết làm cách nào để đánh hơi lưu lượng của một máy từ xa bằng wireshark?

Khi ở tùy chọn chụp, tôi chọn giao diện từ xa và nhập ip từ xa hiển thị cho tôi error.code (10061). Tôi nên làm gì?

Trên Linux và OSX, bạn có thể đạt được điều này bằng cách chạy tcpdump qua ssh và nghe wireshark trên đường ống.

1. Tạo một đường ống có tên:

   $ mkfifo /tmp/remote

2. Bắt đầu wireshark từ dòng lệnh

   $ wireshark -k -i /tmp/remote

3. Chạy tcpdump qua ssh trên máy từ xa của bạn và chuyển hướng các gói đến đường ống có tên:

   $ ssh root@firewall "tcpdump -s 0 -U -n -w - -i eth0 not port 22" > /tmp/remote

Nguồn: http://blog.nielshorn.net/2010/02/USE-wireshark-with-remote-capturing/

Tôi sử dụng oneliner này như root. Rất hữu ích!

ssh root@sniff_server_ip -p port tcpdump -U -s0 'not port 22' -i eth0 -w - | wireshark -k -i -

Cái cuối cùng -trước de |là sự chuyển hướng của đầu ra đó và được sử dụng cho đầu vào tiêu chuẩn của wireshark. Các -ktùy chọn trong phương tiện Wireshark "bắt đầu inmidiately sniffing

Một cách tiếp cận là sử dụng cái được gọi là cổng gương hoặc span trên công tắc của bạn. Nếu công tắc của bạn không đủ mạnh, bạn cũng có thể đặt một trung tâm nhỏ nằm giữa kết nối của công tắc / máy chủ để bắt. Bạn kết nối một liên kết vật lý từ máy chủ nghe của bạn với cổng / trung tâm đó và sau đó bạn có thể thấy tất cả lưu lượng truy cập qua thiết bị. Ngoài ra, bạn sẽ cần cài đặt phần mềm chụp gói tin của bạn ở một vị trí chiến lược hơn trong mạng của bạn như tường lửa / bộ định tuyến biên.

Bạn có thể sử dụng một bộ mô tả tập tin để kết nối và nhận các gói bằng cách sshvà dẫn nó đến wireshark cục bộ:

wireshark -i <(ssh root@firewall tcpdump -s 0 -U -n -w - -i eth0 not port 22)

Bạn wireshark sẽ mở và hiển thị cho bạn "Giao diện" giống như /dev/fd/63mô tả tệp chứa dữ liệu từ hệ thống từ xa.

xem thông tin về cách thiết lập máy tính từ xa, để cho phép máy cục bộ của bạn kết nối và chụp

http://wiki.wireshark.org/Captureetup/WinPcapRemote

Theo RHEL, câu trả lời của konrad không hiệu quả với tôi vì tcpdumpyêu cầu root và tôi chỉ có quyền truy cập sudo. Những gì đã làm là tạo ra một fifo từ xa mà tôi có thể đọc từ:

remote:~$ mkfifo pcap
remote:~$ sudo tcpdump -s 0 -U -n -w - -i eth0 not port 22 > pcap

và gửi dữ liệu bằng một kết nối riêng:

local:~$ mkfifo pcap
local:~$ ssh user@host "cat pcap" > pcap

và cuối cùng bắt đầu Wireshark

local:~$ wireshark -k -i pcap

Bạn chỉ có thể đánh hơi lưu lượng truy cập mà làm cho nó. Vì vậy, Joe A sẽ đến Joe B không bao giờ đến gần PC của bạn, vì vậy bạn không thể nhìn thấy nó.

Cách duy nhất là để bạn có được lưu lượng truy cập hoặc có được lưu lượng truy cập cho bạn. Để có được lưu lượng truy cập yêu cầu kết nối với bộ định tuyến hoặc bộ chuyển mạch hoặc trung tâm tốt ở đâu đó ở giữa kết nối của họ. Để có được lưu lượng truy cập cho bạn, bạn sẽ cần ARP đầu độc một số công tắc để họ nghĩ rằng chúng là của bạn.

Ngoài các câu trả lời trước đó, phiên bản với netcat cũng nccó thể hữu ích:

Máy chủ từ xa:

mkfifo /tmp/mypcap.fifo

tcpdump -i em0 -s 0 -U -w - > /tmp/mypcap.fifo

nc -l 10000 < /tmp/mypcap.fifo

Chủ nhà địa phương:

wireshark -ki <(nc 192.168.1.1 10000)

Lưu ý về phương pháp này: Nó làm cho cổng không an toàn mở ra cho tất cả các giao diện, vì vậy hãy đảm bảo lọc các kết nối đến với các quy tắc tường lửa.