Иногда мне необходимо было залезть на linux-сервера и иметь возможность просматривать текущий трафик в реальном времени. Как я делал до этого? На целевом сервере устанавливался tcpdump, выхлоп которого писался в файлик. Далее файл через scp тянулся на локальный компьютер под Windows и открывался в Wireshark.
В определенный момент мне захотелось более удобного решения и я, найдя возможность запустить Wireshark на винде (локально) в связке с tcpdump-ом на сервере (удаленно) на просторах интернета, и немного подпилив эту реализацию, решил поделиться с Вами.
Работающая связка (которую проверил я) состоит из:
И хотя, как мне кажется, эти программы будут работать на большинстве версий так же, как и сейчас, я думаю стоит упомянуть именно рабочую конфигурацию.
Установим необходимое ПО и настройки на сервере и десктопе с Windows.
На этом на стороне Linux закончили.
Далее для Windows необходимо установить putty (и с ним обязательно plink), а также само собой wireshark
Открываем putty
Создаем новую сессию trafficmonitor и оставляем пустым Hostname
Идем в настройки авторизации и добавляем ранее вытянутый ключ (который не забываем протянуть через puttygen, чтобы он подходил для putty)
Сохраняем сессию в главном окне.
Хочу уточнить, что у меня также была потребность настройки этого функционала через socks5 прокси с авторизацией, поэтому я покажу как и это сделать, но для этого нам нужна еще одна сессия для putty (trafficmonitor_via_proxy):
Также прописываем ключ
И настраиваем прокси (в моем случае тип, IP-port, username-password)
Сохраняем.
Собственно Putty готово, а ведь из него мы и будем для plink дергать эти сохраненые сессии.
Теперь дело за cmd:
Теперь после запуска этого cmd вы сможете непосредственно мониторить трафик на сервере, без лишней волокиты. Для удобства можно также подкорректировать cmd-файл, чтобы он брал из настроек putty уже существующие сессии.
Вот так, к примеру, выглядит работа этого скрипта:
1. Отвечаем на вопросы
2. Выбираем интерфейс
3. Наслаждаемся
Стоит отметить что поток в Wireshark можно фильтровать, но нельзя остановить — он не возобновится. По итогу также удобно сохранить интересующий нас кусок трафика в pcap-файл.
На этом все и всем спасибо.
UPD1. Если серверов больше 1, то в каждом необходимо проделать процедуру добавления пользователя trafficmonitor и помещения в его домашнюю директорию раннее созданного нами открытого ключа id_rsa.pub(authorized_keys) по пути ~/.ssh/ с правами 755 на каталог и 644 на файл соотвественно. А также озаботиться наличием записей в sudoers
В определенный момент мне захотелось более удобного решения и я, найдя возможность запустить Wireshark на винде (локально) в связке с tcpdump-ом на сервере (удаленно) на просторах интернета, и немного подпилив эту реализацию, решил поделиться с Вами.
Работающая связка (которую проверил я) состоит из:
tcpdump: version 4.9.2
wireshark: version 2.4.4 (v2.4.4-0-g90a7be11a4)
plink: release 0.67
Windows 7 64 Bit МаксимальнаяИ хотя, как мне кажется, эти программы будут работать на большинстве версий так же, как и сейчас, я думаю стоит упомянуть именно рабочую конфигурацию.
Установим необходимое ПО и настройки на сервере и десктопе с Windows.
Linux (у меня debian)
# установка необходимых программ
apt-get install sudo tcpdump -y
# добавление дополнительного пользователя в систему для взаимодействия через него по SSH
adduser trafficmonitor
# логинимся в него
su trafficmonitor
# создаем ключи ssh-keygen (по умолчанию создаст в домашней директории в каталоге .ssh)
ssh-keygen
# переименовываем открытый ключ и утягиваем закрытый к себе через scp/winscp
mv ~/.ssh/id_rsa.pub ~/.ssh/authorized_keys
# права на каталог и файл
chmod 755 ~/.ssh && chmod 644 ~/.ssh/authorized_keys
# идем в sudoers...
nano /etc/sudoers
# ...и разрешаем пользователю trafficmonitor безпарольно выполнять от sudo две команды:
trafficmonitor ALL=NOPASSWD: /usr/sbin/tcpdump
trafficmonitor ALL=NOPASSWD: /sbin/ip addr show
# рестартуем ssh (тут стоит оговориться, что у вас настроена авторизация по ключам и конечно отключена авторизация по паролю, иначе вы получите еще одну слабую точку в виде подбора пароля к этому юзеру)
service ssh restart
На этом на стороне Linux закончили.
Windows
Далее для Windows необходимо установить putty (и с ним обязательно plink), а также само собой wireshark
Открываем putty
Создаем новую сессию trafficmonitor и оставляем пустым Hostname
Идем в настройки авторизации и добавляем ранее вытянутый ключ (который не забываем протянуть через puttygen, чтобы он подходил для putty)
Сохраняем сессию в главном окне.
Хочу уточнить, что у меня также была потребность настройки этого функционала через socks5 прокси с авторизацией, поэтому я покажу как и это сделать, но для этого нам нужна еще одна сессия для putty (trafficmonitor_via_proxy):
Также прописываем ключ
И настраиваем прокси (в моем случае тип, IP-port, username-password)
Сохраняем.
Собственно Putty готово, а ведь из него мы и будем для plink дергать эти сохраненые сессии.
Теперь дело за cmd:
@echo off
:: ip/hostname целевого linux-сервера
set /P ip="Input IP or hostname: "
:: TCP-порт для службы SSH
set /P port="Input SSH port(default 22): "
IF "%port%"=="" (
SET port=22
echo "SSH port is TCP/22..."
) ELSE (echo "SSH port is TCP/%port%...")
:: в некоторых случаях необходимо видеть также SSH трафик, через который пойдет дамп, но в обычных случаях я его отключаю
set /P ssh="Show SSH traffic?(y/N): "
IF "%ssh%"=="y" (echo "SSH will be showed...") ELSE (
SET visible_ssh='not port 22'
echo "SSH won't be showed..."
)
:: вопрос об использовании предварительно настроенной сессии через socks5
set /p socks="Use SOCKS5?(y/N): "
IF "%socks%"=="y" (
echo "SOCKS5 will be used..."
SET params=-load trafficmonitor_via_proxy
) ELSE (
echo "Direct connection will be used..."
SET params=-load trafficmonitor
)
:: данная команда вываливает список интерфейсов, если есть необходимость для выбора определенного (хотя в данной версии надо его указывать в любом случае)
plink %params% trafficmonitor@%ip% -P %port% "sudo ip addr show"
@echo.
set /P int="Select interface(eth0,lo...) "
:: запускаем сайм wireshark и через pipe из tcpdump передаем в него наш трафик
plink %params% trafficmonitor@%ip% -P %port% "sudo tcpdump -i %int% -U -s0 -w - %visible_ssh%" | "C:\Program Files\Wireshark\Wireshark.exe" -k -i -
Вывод
Теперь после запуска этого cmd вы сможете непосредственно мониторить трафик на сервере, без лишней волокиты. Для удобства можно также подкорректировать cmd-файл, чтобы он брал из настроек putty уже существующие сессии.
Вот так, к примеру, выглядит работа этого скрипта:
1. Отвечаем на вопросы
2. Выбираем интерфейс
3. Наслаждаемся
Стоит отметить что поток в Wireshark можно фильтровать, но нельзя остановить — он не возобновится. По итогу также удобно сохранить интересующий нас кусок трафика в pcap-файл.
На этом все и всем спасибо.
UPD1. Если серверов больше 1, то в каждом необходимо проделать процедуру добавления пользователя trafficmonitor и помещения в его домашнюю директорию раннее созданного нами открытого ключа id_rsa.pub(authorized_keys) по пути ~/.ssh/ с правами 755 на каталог и 644 на файл соотвественно. А также озаботиться наличием записей в sudoers