Applicazione con output simile all'output della GUI di "WireShark"

9

So che WireShark consente l'acquisizione di pacchetti live e la visualizzazione dei dettagli nella GUI. Esiste un programma simile che opera su una CLI piuttosto che su una GUI? Questo è destinato all'uso su un'installazione server, in cui è disponibile solo wiresharkl'interfaccia della riga di comando (e anche dove lo spazio su disco è limitato, al punto che non è possibile installare le dipendenze per i pacchetti (ovvero i pacchetti per la GUI).

10.10  10.04  networking  command-line  software-recommendation 
Thomas Ward
fonte

Risposte:

10

Certo, tshark (text shark) è lo stesso programma, ma con un'interfaccia a riga di comando non interattiva.

Puoi anche eseguire tshark sul server e trasferire le acquisizioni su ssh in una gui WireShark in esecuzione altrove.

Per esempio:

  mbp@joy% sudo tshark -i wlan0 -p  -R 'http'
  Capturing on wlan0
  3.929359 192.168.178.22 -> 66.102.11.104 HTTP GET / HTTP/1.1 
  4.104763 66.102.11.104 -> 192.168.178.22 HTTP HTTP/1.1 301 Moved Permanently  (text/html)
  4.118925 192.168.178.22 -> 66.102.11.104 HTTP GET / HTTP/1.1 
  4.295749 66.102.11.104 -> 192.168.178.22 HTTP HTTP/1.1 302 Found  (text/html)
  4.355713 192.168.178.22 -> 66.102.11.104 HTTP GET / HTTP/1.1 
  4.560568 66.102.11.104 -> 192.168.178.22 HTTP HTTP/1.1 200 OK  (text/html)
  4.588767 192.168.178.22 -> 66.102.11.104 HTTP GET /images/nav_logo40.png HTTP/1.1

Puoi anche farlo tshark ... |tee packetlog, sia sullo schermo che sul file.

Oppure, in alternativa, tshark -w stuff.pcapscriverà i pacchetti non elaborati in quel file, che è quindi possibile copiare su un altro computer e aprire all'interno della GUI WireShark, se si desidera effettuare un'indagine più approfondita.

poolie
fonte
1
Potrei anche fare qualcosa di simile sudo tshark -i wlan0 -p -R 'http' > packetlogs.txto qualcosa di simile nel terminale, in modo che registri tutto in un file e forse esegua questo comando in una screensessione o qualcosa del genere? Odierei fare un tcpdump, perché dopo un po 'sarebbe un PITA.
Thomas Ward
1
PER IL RECORD ... Ho provato tsharkper circa un'ora e ho confrontato l'output con l'output di WireShark. Mostra esattamente ciò di cui ho bisogno (l'analisi completa dei pacchetti) tsharknell'output di, esp. nel file ho avuto l'output andare a. Funziona per me ora, sarà una fantastica alternativa CLI a WireShark in questo modo :)
Thomas Ward
1

tshark Installa Tshark è una buona opzione.

Un'alternativa è tcpdump Installa tcpdump , che è un noto predecessore. È ampiamente disponibile su altre piattaforme, quindi potresti imbatterti anche se non lo usi sul tuo server.

Belacqua
fonte
sì, ho problemi con tcpdump (in pratica è un PITA perché non gli piace lavorare bene sul mio sistema: /)
Thomas Ward
@EvilP Quindi Tshark potrebbe essere la strada da percorrere. Uso tcpdump principalmente su sistemi in cui è disponibile e WireShark / Tshark non lo è. Di solito finisco per riportare le catture nella GUI di WireShark, comunque.
belacqua,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.