Linux Tips

Wireshark to świetne narzędzie zarówno do nauki jak i troubleshootingu protokołów sieciowych. Posiada bogate możliwości analizy pakietów, ustawiania filtrów, no i … jest ładny . Problem w tym że czasem nie ma możliwości zainstalowania go na każdej maszynie na której byśmy chcieli. Rozwiązaniem jest przesłanie danych ze snifera tcpdump (który dla odmiany jest instalowany domyślnie w większości wypadków) do analizatora Wireshark zainstalowanego na innej maszynie przez sieć. Wiem, wiem, można ‘nałapać pakietów’ do pliku i go potem otworzyć – ale to nie zawsze jest wygodne.

Procedura jest następująca. Na stacji roboczej z wiresharkiem odpalamy polecenie:

wg@hydra:~/tmp> netcat -l -p 8000 | wireshark -HklS -i -

Uruchomi ono Wiresharka w taki sposób, że wszystko co wpadnie na port 8000 będzie potraktowane jako dane z tcpdumpa. Teraz pozostaje tylko zalogować się na zdalną maszynę, na której będziemy snifować i uruchomić coś takiego:

root@nono:/# tcpdump -lnw - -i ethX port not 8000 | netcat TU.JE.ST.IP 8000

Dodanie filtru ‘port not 8000′ zapobiegnie łapaniu pakietów wysyłanych przez polecenie netcat – nie jest konieczne jeśli snifujemy na innym interfejsie niż ten wykorzystany do przesyłania danych do Wiresharka