Linux Tips » tcpdump http://www.gumularz.net/linux-tips Linux - HowTo, Tips & Tricks, ... Tue, 27 Oct 2009 14:08:47 +0000 http://wordpress.org/?v=2.8.5 en hourly 1 Wireshark + netcat + tcpdump http://www.gumularz.net/linux-tips/2009/06/wireshark-netcat-tcpdump/ http://www.gumularz.net/linux-tips/2009/06/wireshark-netcat-tcpdump/#comments Tue, 09 Jun 2009 08:41:36 +0000 wgumularz http://www.gumularz.net/blog/?p=73 Wireshark to świetne narzędzie zarówno do nauki jak i troubleshootingu protokołów sieciowych. Posiada bogate możliwości analizy pakietów, ustawiania filtrów, no i … jest ładny :) . Problem w tym że czasem nie ma możliwości zainstalowania go na każdej maszynie na której byśmy chcieli. Rozwiązaniem jest przesłanie danych ze snifera tcpdump (który dla odmiany jest instalowany domyślnie w większości wypadków) do analizatora Wireshark zainstalowanego na innej maszynie przez sieć. Wiem, wiem, można ‘nałapać pakietów’ do pliku i go potem otworzyć – ale to nie zawsze jest wygodne.

Procedura jest następująca. Na stacji roboczej z wiresharkiem odpalamy polecenie:

wg@hydra:~/tmp> netcat -l -p 8000 | wireshark -HklS -i -

Uruchomi ono Wiresharka w taki sposób, że wszystko co wpadnie na port 8000 będzie potraktowane jako dane z tcpdumpa. Teraz pozostaje tylko zalogować się na zdalną maszynę, na której będziemy snifować i uruchomić coś takiego:

root@nono:/# tcpdump -lnw - -i ethX port not 8000 | netcat TU.JE.ST.IP 8000

Dodanie filtru ‘port not 8000′ zapobiegnie łapaniu pakietów wysyłanych przez polecenie netcat – nie jest konieczne jeśli snifujemy na innym interfejsie niż ten wykorzystany do przesyłania danych do Wiresharka

]]> http://www.gumularz.net/linux-tips/2009/06/wireshark-netcat-tcpdump/feed/ 1