Aplikacja z wyjściem podobnym do wyjścia GUI programu „WireShark”

9

Wiem, że WireShark pozwala na przechwytywanie pakietów na żywo, a także wyświetlanie szczegółów w GUI. Czy istnieje podobny program działający na interfejsie CLI, a nie GUI? Jest to przeznaczone do użycia w instalacji serwera, w której dostępny jest tylko CLI (a także tam, gdzie przestrzeń dyskowa jest ograniczona, tak bardzo, że wiresharknie można zainstalować zależności dla pakietów (tj. Pakietów dla GUI).

10.10 10.04 networking command-line software-recommendation Thomas Ward
źródło

Odpowiedzi:

10

Jasne, tshark (rekin tekstowy) to ten sam program, ale z nieinteraktywnym interfejsem wiersza poleceń.

Możesz także uruchomić tshark na serwerze i przesłać przechwycone pliki przez ssh do GUI Wireshark działającego gdzie indziej.

Na przykład:

  mbp@joy% sudo tshark -i wlan0 -p  -R 'http'
  Capturing on wlan0
  3.929359 192.168.178.22 -> 66.102.11.104 HTTP GET / HTTP/1.1 
  4.104763 66.102.11.104 -> 192.168.178.22 HTTP HTTP/1.1 301 Moved Permanently  (text/html)
  4.118925 192.168.178.22 -> 66.102.11.104 HTTP GET / HTTP/1.1 
  4.295749 66.102.11.104 -> 192.168.178.22 HTTP HTTP/1.1 302 Found  (text/html)
  4.355713 192.168.178.22 -> 66.102.11.104 HTTP GET / HTTP/1.1 
  4.560568 66.102.11.104 -> 192.168.178.22 HTTP HTTP/1.1 200 OK  (text/html)
  4.588767 192.168.178.22 -> 66.102.11.104 HTTP GET /images/nav_logo40.png HTTP/1.1

Możesz także to zrobić, tshark ... |tee packetlogaby przejść zarówno do ekranu, jak i do pliku.

Lub, alternatywnie, tshark -w stuff.pcapzapisze nieprzetworzone pakiety do tego pliku, który możesz następnie skopiować na inną maszynę i otworzyć w GUI Wireshark, jeśli chcesz przeprowadzić bardziej szczegółowe badanie.

poolie
źródło
1
Czy mogę również zrobić coś podobnego sudo tshark -i wlan0 -p -R 'http' > packetlogs.txtlub coś podobnego w terminalu, aby logował wszystko do pliku i być może uruchomił to polecenie w screensesji lub coś takiego? Nienawidzę robić tcpdump, ponieważ po pewnym czasie będzie to PITA.
Thomas Ward
1
DLA REJESTRU ... Testowałem tsharkprzez około godzinę i porównywałem moc wyjściową z mocą wireshark. Pokazuje dokładnie to, czego potrzebuję (kompletna analiza pakietów) w tsharkdanych wyjściowych, szczególnie. w pliku miałem wyjście do. Teraz działa dla mnie, będzie to świetna alternatywa CLI dla wireshark w ten sposób :)
Thomas Ward
1

tshark Zainstaluj tshark to dobra opcja.

Alternatywą jest tcpdump Zainstaluj tcpdump , który jest dobrze znanym poprzednikiem. Jest szeroko dostępny na innych platformach, więc możesz na niego natknąć, nawet jeśli nie używasz go na serwerze.

Belacqua
źródło
tak, mam problemy z tcpdump (w zasadzie jest to PITA, ponieważ po prostu nie lubi dobrze pracować w moim systemie: /)
Thomas Ward
@EvilP Zatem tshark może być właściwą drogą. Używam tcpdump przede wszystkim w systemach, w których jest dostępny, a Wireshark / tshark nie. W każdym razie zwykle kończę przechwytywanie z powrotem do GUI wireshark.
belacqua,