Как я могу прослушать трафик удаленной машины с Wireshark?

Я могу прослушивать трафик моего локального компьютера, но я хотел бы знать, как мне прослушивать трафик удаленной машины по wireshark?

Когда в опции захвата я выбираю удаленный интерфейс и ввожу свой удаленный IP, покажи мне error.code (10061). Что мне делать?

В Linux и OSX вы можете добиться этого, запустив tcpdump поверх ssh и прослушивая wireshark по каналу.

1. Создайте именованный канал:

   $ mkfifo /tmp/remote

2. Запустите wireshark из командной строки

   $ wireshark -k -i /tmp/remote

3. Запустите tcpdump over ssh на удаленной машине и перенаправьте пакеты в именованный канал:

   $ ssh root@firewall "tcpdump -s 0 -U -n -w - -i eth0 not port 22" > /tmp/remote

Источник: http://blog.nielshorn.net/2010/02/using-wireshark-with-remote-capturing/

Я использую этот oneliner как root. Это очень полезно!

ssh root@sniff_server_ip -p port tcpdump -U -s0 'not port 22' -i eth0 -w - | wireshark -k -i -

Последнее -перед de |- это перенаправление этого выхода, которое используется для стандартного ввода wireshark. -kВариант в Wireshark означает «начать inmidiately нюхает

Один из подходов состоит в том, чтобы использовать на коммутаторе так называемый зеркальный или промежуточный порт . Если ваш коммутатор недостаточно интеллектуален, вы также можете поместить небольшой концентратор между соединением коммутатор / хост-захват. Вы подключаете физическую ссылку от вашего прослушивающего хоста к этому порту / концентратору, и затем вы можете видеть весь трафик, проходящий через устройство. В качестве альтернативы вам необходимо установить программное обеспечение для захвата пакетов в более стратегическом месте в вашей сети, например пограничный межсетевой экран / маршрутизатор.

Вы можете использовать файловый дескриптор для подключения и получения пакетов sshи передачи их локально по Wireshark:

wireshark -i <(ssh root@firewall tcpdump -s 0 -U -n -w - -i eth0 not port 22)

Ваш Wireshark откроет и покажет вам «Интерфейс», как /dev/fd/63дескриптор файла, содержащий данные из удаленной системы.

см. информацию о настройке удаленного компьютера, чтобы ваш локальный компьютер мог подключаться и захватывать

http://wiki.wireshark.org/CaptureSetup/WinPcapRemote

Под RHEL ответ Конрада не работал для меня, потому что tcpdumpтребует root, и у меня есть только доступ sudo. Что работало, так это создание дополнительного удаленного fifo, из которого я могу читать:

remote:~$ mkfifo pcap
remote:~$ sudo tcpdump -s 0 -U -n -w - -i eth0 not port 22 > pcap

и отправьте данные по отдельному соединению:

local:~$ mkfifo pcap
local:~$ ssh user@host "cat pcap" > pcap

и, наконец, начать Wireshark

local:~$ wireshark -k -i pcap

Вы можете только понюхать трафик, который делает это для вас. Так что Джо А, идущий к Джо Б, никогда не приближается к твоему ПК, поэтому ты его не видишь.

Единственный способ для вас, чтобы попасть в трафик или получить трафик для вас. Чтобы попасть в трафик, требуется соединение с маршрутизатором или хорошим коммутатором или концентратором где-то посередине их соединения. Чтобы получить трафик для вас, вам нужно отравить ARP некоторые коммутаторы, чтобы они думали, что вы их.

В дополнение к предыдущим ответам ncможет быть полезна версия с netcat :

Удаленный узел:

mkfifo /tmp/mypcap.fifo

tcpdump -i em0 -s 0 -U -w - > /tmp/mypcap.fifo

nc -l 10000 < /tmp/mypcap.fifo

Локальный хост:

wireshark -ki <(nc 192.168.1.1 10000)

Примечание об этом методе: он делает незащищенный порт открытым для всех интерфейсов, поэтому обязательно фильтруйте входящие соединения с помощью правил брандмауэра.