どうすればリモートコンピュータのトラフィックをWiresharkで盗聴できますか？

Question

ローカルPCのトラフィックを傍受できますが、wiresharkを使用してリモートマシンのトラフィックを傍受する方法を教えてください。

キャプチャオプションでは、リモートインターフェイスを選択し、リモートIPを入力しますshow me error.code（10061）。私は何をすべきか？

konrad · Answer

LinuxおよびOSXでは、sshでtcpdumpを実行し、wiresharkがパイプでリッスンすることでこれを実現できます。

名前付きパイプを作成します。

$ mkfifo /tmp/remote
コマンドラインからwiresharkを起動します

$ wireshark -k -i /tmp/remote
リモートマシンのsshでtcpdumpを実行し、パケットを名前付きパイプにリダイレクトします。

$ ssh root@firewall "tcpdump -s 0 -U -n -w - -i eth0 not port 22" > /tmp/remote

出典： http://blog.nielshorn.net/2010/02/using-wireshark-with-remote-capturing/

ctaglia · Answer

このワンライナーをルートとして使用します。とても便利です！

ssh root@sniff_server_ip -p port tcpdump -U -s0 'not port 22' -i eth0 -w - | wireshark -k -i -

最後 -の前に|はその出力のリダイレクトであり、wiresharkによる標準入力に使用されます。 -k Wiresharkのオプションは、「少しスニッフィングを開始する」を意味します

dmourati · Answer

1つのアプローチは、スイッチでミラーまたはスパンポートと呼ばれるものを使用することです。スイッチの機能が不十分な場合は、スイッチ/ホストからキャプチャへの接続の間に小さなハブを配置することもできます。リスニングホストからそのポート/ハブに物理リンクを接続すると、デバイスを通過するすべてのトラフィックを確認できます。または、境界ファイアウォール/ルーターなど、ネットワーク内のより戦略的な場所にパケットキャプチャソフトウェアをインストールする必要があります。

SiLeX · Answer

ファイル記述子を使用して、sshでパケットに接続して受信し、それをローカルのWiresharkにパイプすることができます。

wireshark -i <(ssh root@firewall tcpdump -s 0 -U -n -w - -i eth0 not port 22)

Wiresharkが開き、リモートシステムからのデータを含むファイル記述子である/dev/fd/63のような「インターフェース」が表示されます。

Jacob · Answer

ローカルコンピューターが接続してキャプチャできるように、リモートコンピューターの設定に関する情報を表示する

http://wiki.wireshark.org/CaptureSetup/WinPcapRemote

Dan · Answer

RHELでは、tcpdumpにはrootが必要であり、私はSudoアクセスしか持っていないため、konradの答えは私にとってうまくいきませんでした。うまくいったのは、私が読み取れる追加のリモートfifoを作成することでした。

remote:~$ mkfifo pcap remote:~$ Sudo tcpdump -s 0 -U -n -w - -i eth0 not port 22 > pcap

別の接続でデータを送信します。

local:~$ mkfifo pcap local:~$ ssh user@Host "cat pcap" > pcap

最後にWiresharkを起動します

local:~$ wireshark -k -i pcap

fugitive · Answer

以前の回答に加えて、netcat ncを使用したバージョンも役立つ場合があります。

リモートホスト：

_mkfifo /tmp/mypcap.fifo_

_tcpdump -i em0 -s 0 -U -w - > /tmp/mypcap.fifo_

_nc -l 10000 < /tmp/mypcap.fifo_

ローカルホスト：

wireshark -ki <(nc 192.168.1.1 10000)

この方法に関する注意：安全でないポートがすべてのインターフェースに対して開かれるため、ファイアウォール接続で着信接続をフィルタリングするようにしてください。

Johnny · Answer

あなたにそれを作るトラフィックだけを嗅ぐことができます。したがって、ジョーAがジョーBに行くことは決してPCの近くに来ないので、それを見ることができません。

唯一の方法は、あなたがトラフィックに到達するか、トラフィックを取得することです。トラフィックに到達するには、接続の途中のどこかにあるルーターまたは適切なスイッチまたはハブに接続する必要があります。トラフィックを取得するには、一部のスイッチをARPポイズニングして、それらがあなたのスイッチだと考えるようにする必要があります。