如何在Wireshark中使用SSH远程捕获

Question

我正在使用Wireshark 2.4.6便携版(从他们的网站下载)，并且我正在尝试配置远程捕获，我不清楚应该在远程捕获命令行中使用什么。

这方面有帮助，但它指的是命令行界面选项https://www.wireshark.org/docs/man-pages/sshdump.html

在上面的页面上，他们说使用该sshdump CLI等同于此Unix CLI

ssh remoteuser@remotehost -p 22222 'tcpdump -U -i IFACE -w -' > FILE & $ wireshark FILE  w

​

Answer 1

您只需在该窗口中配置SSH设置，就可以让Wireshark登录并运行tcpdump。

您可以将capture命令保留为空，它将在eth0上捕获。只有在有特定需求时(比如需要指定接口名称)，您才会想要更改它。

您可能希望将捕获筛选器设置为not ((host x.x.x.x) and port 22) (将x.x替换为您自己的ip地址)，这样屏幕就不会被自己的SSH流量淹没。

Answer 2

以下命令用作远程捕获命令：

/usr/bin/dumpcap -i eth0 -q -f 'not port 22' -w -

将eth0替换为要捕获流量的接口，将not port 22替换为远程捕获过滤器，记住不要捕获您自己的ssh流量。

这里假设您有configured dumpcap on the remote host to run without requiring sudo。

指定远程捕获命令时，其他捕获字段似乎会被忽略。

使用带有wireshark 3.2.3-1的Ubuntu 20.04 (两端)进行测试。

默认的远程捕获命令显示为tcpdump。

我没有找到任何说明如何将远程ssh捕获的GUI对话框选项转换为远程主机命令的文档。

Answer 3

关于sshdump，如果您在通过命令行查找命令时遇到问题，请注意，在所有平台上，默认情况下它不在系统路径中。

对于GNU/Linux (例如，在我的例子中，Ubuntu20.04，Wiresharkv3.2.3)，它在/usr/lib/x86_64-linux-gnu/wireshark/extcap/下。

如果在您的系统上不是这样，那么可以确保安装了mlocate (sudo apt install mlocate)，然后使用locate sshdump查找其路径(您可能会在同一位置找到其他一些有趣的工具-使用man pages或--help了解更多信息)。