Como configurar o Wireshark para registrar APENAS pedidos de DNS?

Especifique um filtro de captura usando -f "port 53".

Nota lateral: é tshark agora não tethereal não mais.

Para capturar localmente, mas armazenar os dados em um servidor remoto, use - ou /dev/stdout como o arquivo de saída, e canalizar o comando para ssh:

tshark -i eth0 -f "port 53" -l -w - | ssh otherhost "cat > foo.pcap"

tcpdump -i eth0 -f "port 53" -l -w - | ssh otherhost "cat > foo.pcap"

Você também pode fazer o oposto - capturar em um servidor remoto, mas armazenar dados localmente:

ssh otherhost "tshark -i eth0 -f "port 53" -l -w -" > foo.pcap

ssh otherhost "tcpdump -i eth0 -f "port 53" -l -w -" > foo.pcap

Nota: Sempre especifique um filtro de captura ao armazenar dados como este. Se você não fizer isso, cada pacote causará um loop infinito.

grawity
fonte

A página man de tethereal e a Guia do Usuário do Wireshark mencione os filtros que são aplicados por padrão quando executados via SSH. No primeiro caso (armazenar no servidor remoto), isso não se aplica, mas no segundo caso?

Daniel Beck

Obrigado, isso é capturar dns agora. No entanto, estou confuso sobre como obter o arquivo salvo no meu computador local. Eu estou usando o ssh para entrar em um servidor que eu possuo de um laptop windows 7. Como faço para que o arquivo seja enviado para o meu laptop do servidor enquanto ele está sendo capturado?

thebigapplee

@DanielBeck: Obrigado, não sabia disso.

grawity

@thebigapplee: Use o segundo método ("captura em um servidor remoto"). Se estiver usando o PuTTY, substitua ssh com plink.

grawity

e eu substituir 'otherhost' com o que, como vai encontrar o meu computador?

thebigapplee

Como configurar o Wireshark para registrar APENAS pedidos de DNS?

Respostas: