@spacewalk30 янв 2018 в 14:54

Wireshark для просмотра трафика в реальном времени

3 мин

26K

*nix * Системное администрирование *

Туториал

Комментарии 23

НЛО прилетело и опубликовало эту надпись здесь

@spacewalk 30 янв 2018 в 15:37

Спасибо!

@lemproix 30 янв 2018 в 16:54

Откройте для себя tshark, он делает в принце тоже самое что и его win брат (Wireshark)

@spacewalk 30 янв 2018 в 16:55

так он консольный? т.е. надо логиниться непосредственно на сервер?

@SmirnoffA 30 янв 2018 в 19:16

Не в тему. «нашев»?, кошмар какой-то… Да что же это такое? Ну неужели можно быть настолько «узким» специалистом?

@spacewalk 30 янв 2018 в 20:06

А как Вы считаете правильным написать?

@ilynxy 30 янв 2018 в 21:36

Вышев из дома и не нашев смысла жизни Розенталь умер так и не пришев в сознание.

@spacewalk 30 янв 2018 в 22:06

)) поправил ошибку, спасибо за замечание

@sbr2004 30 янв 2018 в 22:04

найдя возможность

@moyseuk 30 янв 2018 в 22:04

Думаю НАЙДЯ. Хотя, ИМХО, тут просто предложение довольно сложное. Проще его переформулировать.

@spacewalk 30 янв 2018 в 20:03

А как Вы считаете правильным написать?

@devgor 30 янв 2018 в 22:04

найдя

@DeeZ 31 янв 2018 в 05:23

Вы изобрели велосипед )
Я под винду брал враперы из пакета eve-ng немного правил их под свои нужны.

На линуксе алиас:

alias rshark='OIFS=$IFS;IFS=,;rshark=( $(zenity --forms --title="Remote Shark"  --text="tcpdump parameters" --separator="," --add-entry="host*" --add-entry="interface*" --add-entry="filter" --add-entry="extra options")); [[ -n ${rshark[0]} && -n ${rshark[1]} ]] && ssh root@${rshark[0]} ${rshark[3]} "/usr/sbin/tcpdump -U -i ${rshark[1]} -s 0 -w - ${rshark[2]}" | wireshark -k -i - ;IFS=$OIFS;'

@spacewalk 31 янв 2018 в 07:50

Я не изобретал, а сказал, что немного подпилил существующее решение. В частности добавил авторизацию на сервер по ключам, отдельного пользователя (чтобы не логиниться под рутом, обычно отключаю эту возможность в ssh) и хождение через socks-прокси из-под Windows

@throttle 31 янв 2018 в 12:29

Как же это все сложно по виндой. Сам когда-то реализовывал нечто похожее, но забросил, т.к. было нестабильно.
В linux это делается одной строкой.

@Tufed 31 янв 2018 в 13:55

И эта строка (комментарием выше) пока что меня пугает.

@throttle 31 янв 2018 в 14:26

Там просто алиас со свистелками. Можно так, например:

ssh user@server sudo tcpdump -i eth0 'net 192.168.1.0/24 and not port 22' -s 0 -w - | wireshark -k -i -

Для user на server должно быть разрешено запускать sudo tcpdump без пароля.

@cruxacrux 31 янв 2018 в 14:37

tcpdump не нужно запускать от рута, чтобы открыть сетевое устройство для перехвата трафика. Выдайте /usr/sbin/tcpdump разрешения CAP_NET_RAW и CAP_NET_ADMIN:

setcap cap_net_raw,cap_net_admin=eip /usr/sbin/tcpdump

И прав рута не нужно будет для запуска

@throttle 31 янв 2018 в 14:48

Да, так еще лучше. И еще проще, чем под виндой.
И почему «все» думают, что linux — это сложно?.. :)

@ValdikSS 2 фев 2018 в 08:56

…и его смогут запускать все пользователи.

@cruxacrux 2 фев 2018 в 13:16

Это понятно. Как и с setuid программами, рекомендуется устанавливать файловые ограничения какой группе пользователей можно иметь доступ к исполнению такого файла. Просто в отличии от sudo программа получит более ограниченный набор прав.

@dilukhin 24 июл 2018 в 17:12

Прошу прощения за нубство, но нельзя ли объяснить подробно, что значит эта фраза?

утягиваем закрытый к себе через scp/winscp

Должен ли закрытый ключ остаться на linux-хосте в папке ~/.ssh?
Куда именно нужно скопировать этот самый закрытый ключ во время утягивания?
Спасибо!

@dilukhin 24 июл 2018 в 17:31

Второй вопрос отпал после внимательного прочтения — надо скопировать ключ на Windows-хост (в моём случае c:\temp, например) для последующей конверсии при помощи puttygen. Первый вопрос пока актуален.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий