Aplicativo com saída semelhante à saída da GUI do “WireShark”

9

Eu sei que o WireShark permite a captura de pacotes ao vivo, bem como os detalhes que podem ser exibidos na GUI. Existe algum programa semelhante que opere em uma CLI, em vez de uma GUI? Isso se destina ao uso em uma instalação de servidor, na qual apenas a CLI está disponível (e também onde o espaço em disco é limitado, tanto que as dependências dos wiresharkpacotes não podem ser instaladas (ou seja, os pacotes da GUI).

10.10 10.04 networking command-line software-recommendation Thomas Ward
fonte

Respostas:

10

Claro, tshark (text shark) é o mesmo programa, mas com uma interface de linha de comando não interativa.

Você também pode executar o tshark no servidor e transferir as capturas pelo ssh para um wireshark gui em outro local.

Por exemplo:

  mbp@joy% sudo tshark -i wlan0 -p  -R 'http'
  Capturing on wlan0
  3.929359 192.168.178.22 -> 66.102.11.104 HTTP GET / HTTP/1.1 
  4.104763 66.102.11.104 -> 192.168.178.22 HTTP HTTP/1.1 301 Moved Permanently  (text/html)
  4.118925 192.168.178.22 -> 66.102.11.104 HTTP GET / HTTP/1.1 
  4.295749 66.102.11.104 -> 192.168.178.22 HTTP HTTP/1.1 302 Found  (text/html)
  4.355713 192.168.178.22 -> 66.102.11.104 HTTP GET / HTTP/1.1 
  4.560568 66.102.11.104 -> 192.168.178.22 HTTP HTTP/1.1 200 OK  (text/html)
  4.588767 192.168.178.22 -> 66.102.11.104 HTTP GET /images/nav_logo40.png HTTP/1.1

Você também pode fazê- tshark ... |tee packetloglo, indo para a tela e para o arquivo.

Ou, como alternativa, tshark -w stuff.pcapgravará os pacotes brutos nesse arquivo, que você poderá copiar para outra máquina e abrir dentro do wireshark gui, se desejar fazer uma investigação mais aprofundada.

poolie
fonte
1
Eu também poderia fazer algo parecido sudo tshark -i wlan0 -p -R 'http' > packetlogs.txtou semelhante no terminal, para que ele registre tudo em um arquivo e talvez execute este comando em uma screensessão ou algo assim? Eu odiaria fazer um tcpdump, porque isso seria um PITA depois de um tempo.
Thomas Ward
1
PARA O REGISTRO ... Testei tsharkpor cerca de uma hora e comparei a saída com a saída do wireshark. Ele mostra exatamente o que eu preciso (a análise completa de pacotes) na tsharksaída de, esp. no arquivo em que eu tive a saída. Trabalha para mim agora, vai ser uma alternativa CLI incrível para wireshark desta maneira :)
Thomas Ward
1

O tshark Instale o tshark é uma boa opção.

Uma alternativa é tcpdump Instale o tcpdump , que é um predecessor bem conhecido. Está amplamente disponível em outras plataformas, portanto, você pode encontrá-lo mesmo que não o utilize no seu servidor.

belacqua
fonte
Sim, eu tenho problemas com tcpdump (basicamente sendo um PITA, porque ele só não gosta de trabalhar bem no meu sistema: /)
Thomas Ward
@EvilP Então o tshark pode ser o caminho a percorrer. Eu uso o tcpdump principalmente em sistemas onde está disponível e o wireshark / tshark não está. Geralmente, acabo puxando as capturas de volta para a GUI do wireshark.
Belacqua