HOWTO: Удаленный сниффер или шаркаем по паутине. Wireshark over net

[Mam(O)n]

(Нажмите, чтобы показать/скрыть)

В бытность владения недорогим домашним роутером с прошитым пингвином на борту и в качестве бонуса приложенным tcpdump мне часто приходилось снифать трафик на wan порту, дабы выявить некоторого рода неисправности. Смотреть на трафик через призму tcpdump как то не доставляло ввиду предоставления им скудной информации на stdout, даже с -vvv.

На счет чего был откопан в недрах репозитория программ для роутера консольный вариант wireshark - tshark. С ним конечно было веселее, но всё равно чего-то не хватало...

Далее, ничего не было придумано умнее, чем записывать сессию сбора tcpdump с опциями -s0 -w filename.pcap и затем тянуть его на десктоп через ssh. Но это доставляло массу неудобств.

Гугление подсказало, что в недрах порта libpcap на альтернативную платформу под названием winpcap, были запрятаны исходники очень полезного демона rpcapd, который позволял производить снифф пакетов и отправлять на удаленную машину в любую программу, которая была сделана на основе winpcap. Достаточно было в программе написать в качестве url строку rpcap://ip_адрес:порт/имя_интерфейса. Всё конечно было очень удобно, если не одно но! Прием пакетов работал только с помощью программ на основе winpcap и данный функционал обратно в libpcap не был перенесен и следственно на nix системах не был представлен в отличии от демона rpcapd...

Всё это очень огорчало... В то время, когда на мощных каналах и процах можно было позволить просто запустить полноценный wireshark на удаленной машине, стуннелировав через ssh x11 протокол, на слабеньком роутере это было просто непозволительно...

Но так было пока я блин, деревянная голова, спустя пару лет не вспомнил о том, насколько могут быть мощны и полезны конвееры (pipes), и одно из их применений я хочу поведать здесь.

Требования:
  На удаленной машине нам понадобятся права рута, ssh-доступ и пакет tcpdump.
  На локальной понадобится wireshark и ssh-клиент.

Процесс:
  Передача соснифаной информации от удаленного узла производится при помощи стандартных stdout/stdin pipe'ов на локальную машину при помощи запуска через ssh на удалённой машине tcpdump и передачи его "выхлопа" локальному wireshark:

ssh пользователь@хост tcpdump -lni интерфейс -s0 -w- фильтр | wireshark -i-

Хочу обратить внимание на опцию -l в команде вызова tcpdump, которая указывает, чтобы он использовал live-режим вывода в stdout.

А теперь ловим profit!

(Нажмите, чтобы показать/скрыть)

Требования:
  На удаленной машине нам понадобятся права рута и пакеты tcpdump и netcat.
  На локальной понадобится netcat и wireshark.

Процесс:
  Коннект для передачи соснифанной информации от удаленного узла к локальному можно инициировать как с локального узла на удаленный, так и наоборот:

  Пассивный режим (коннект с локального компа на удаленный сервер)

• На удаленной машине запускаем tcpdump -i имя_интерфейса -s0 -w- здесь_можно_указать_pcap_фильтр | nc -l номер_порта
• На локальной машине запускаем nc адрес_удаленного_компа номер_порта | wireshark -i- и в меню capture давим на цапу start.

  Активный режим (коннект от удаленного сервера к локальному компу)

• На локальной машине запускаем прослушку порта и wireshark следующим способом: nc -l номер_порта | wireshark -i- и в меню capture давим на цапу start.
• На удаленной машине запускаем tcpdump -i имя_интерфейса -s0 -w- здесь_можно_указать_pcap_фильтр | nc адрес_удаленного_компа номер_порта

[alexander.pronin]

Очень ловко.
Узнал из Вашего поста про существование замечательной утилиты netcat.
Спасибо.
ЗЫ.
Информации по netcat на русском языке.
http://ru.wikipedia.org/wiki/Netcat

[Mam(O)n]

Узнал из Вашего поста про существование замечательной утилиты netcat.

Есть еще более интересная но более замороченная утилита - socat