Remote Wireshark mit SSH & TCPdump

Auf dem Quellserver wird tcpdump benötigt.

Installation tcpdump

apt install tcpdump

Um als unprivilegierter User tcpdump auszuführen kann man die /etc/sudoers erweitern um tcpdump ohne Passwort auszuführen.

myuser ALL=(ALL:ALL) NOPASSWD: /usr/bin/tcpdump

Auf der Workstation wo Wireshark ausgeführt wird müssen 2 Anpassungen gemacht werden:

sudo usermod -a -G wireshark mylocaluser
sudo chmod +x /usr/bin/dumpcap

Um auf der Workstation den Remotedump zu starten und an den Wireshark zu übergeben folgendes Kommando ausführen:

ssh myuser@192.168.20.10 sudo tcpdump -i eth0 -U -s0 -w - 'not port 22' | wireshark -k -i -

Der Parameter -i kann auf das entsprechende Interface angepasst werden. Es wird ein Filter angewendet um SSH rauszufiltern um den Traffic des Dumps nicht im Dump zu haben.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.