spacewalk Jan 30 2018 at 17:54

Wireshark для просмотра трафика в реальном времени

3 min

23K

System administration**nix*

Tutorial

Comments 23

UFO just landed and posted this here

spacewalk Jan 30 2018 at 18:37

Спасибо!

lemproix Jan 30 2018 at 19:54

Откройте для себя tshark, он делает в принце тоже самое что и его win брат (Wireshark)

spacewalk Jan 30 2018 at 19:55

так он консольный? т.е. надо логиниться непосредственно на сервер?

SmirnoffA Jan 30 2018 at 22:16

Не в тему. «нашев»?, кошмар какой-то… Да что же это такое? Ну неужели можно быть настолько «узким» специалистом?

-1

spacewalk Jan 30 2018 at 23:06

А как Вы считаете правильным написать?

-1

ilynxy Jan 31 2018 at 00:36

Вышев из дома и не нашев смысла жизни Розенталь умер так и не пришев в сознание.

spacewalk Jan 31 2018 at 01:06

)) поправил ошибку, спасибо за замечание

-1

sbr2004 Jan 31 2018 at 01:04

найдя возможность

-1

moyseuk Jan 31 2018 at 01:04

Думаю НАЙДЯ. Хотя, ИМХО, тут просто предложение довольно сложное. Проще его переформулировать.

-1

spacewalk Jan 30 2018 at 23:03

А как Вы считаете правильным написать?

-1

devgor Jan 31 2018 at 01:04

найдя

-1

DeeZ Jan 31 2018 at 08:23

Вы изобрели велосипед )
Я под винду брал враперы из пакета eve-ng немного правил их под свои нужны.

На линуксе алиас:

alias rshark='OIFS=$IFS;IFS=,;rshark=( $(zenity --forms --title="Remote Shark"  --text="tcpdump parameters" --separator="," --add-entry="host*" --add-entry="interface*" --add-entry="filter" --add-entry="extra options")); [[ -n ${rshark[0]} && -n ${rshark[1]} ]] && ssh root@${rshark[0]} ${rshark[3]} "/usr/sbin/tcpdump -U -i ${rshark[1]} -s 0 -w - ${rshark[2]}" | wireshark -k -i - ;IFS=$OIFS;'

spacewalk Jan 31 2018 at 10:50

Я не изобретал, а сказал, что немного подпилил существующее решение. В частности добавил авторизацию на сервер по ключам, отдельного пользователя (чтобы не логиниться под рутом, обычно отключаю эту возможность в ssh) и хождение через socks-прокси из-под Windows

throttle Jan 31 2018 at 15:29

Как же это все сложно по виндой. Сам когда-то реализовывал нечто похожее, но забросил, т.к. было нестабильно.
В linux это делается одной строкой.

Tufed Jan 31 2018 at 16:55

И эта строка (комментарием выше) пока что меня пугает.

throttle Jan 31 2018 at 17:26

Там просто алиас со свистелками. Можно так, например:

ssh user@server sudo tcpdump -i eth0 'net 192.168.1.0/24 and not port 22' -s 0 -w - | wireshark -k -i -

Для user на server должно быть разрешено запускать sudo tcpdump без пароля.

cruxacrux Jan 31 2018 at 17:37

tcpdump не нужно запускать от рута, чтобы открыть сетевое устройство для перехвата трафика. Выдайте /usr/sbin/tcpdump разрешения CAP_NET_RAW и CAP_NET_ADMIN:

setcap cap_net_raw,cap_net_admin=eip /usr/sbin/tcpdump

И прав рута не нужно будет для запуска

throttle Jan 31 2018 at 17:48

Да, так еще лучше. И еще проще, чем под виндой.
И почему «все» думают, что linux — это сложно?.. :)

ValdikSS Feb 2 2018 at 11:56

…и его смогут запускать все пользователи.

cruxacrux Feb 2 2018 at 16:16

Это понятно. Как и с setuid программами, рекомендуется устанавливать файловые ограничения какой группе пользователей можно иметь доступ к исполнению такого файла. Просто в отличии от sudo программа получит более ограниченный набор прав.

dilukhin Jul 24 2018 at 20:12

Прошу прощения за нубство, но нельзя ли объяснить подробно, что значит эта фраза?

утягиваем закрытый к себе через scp/winscp

Должен ли закрытый ключ остаться на linux-хосте в папке ~/.ssh?
Куда именно нужно скопировать этот самый закрытый ключ во время утягивания?
Спасибо!

dilukhin Jul 24 2018 at 20:31

Второй вопрос отпал после внимательного прочтения — надо скопировать ключ на Windows-хост (в моём случае c:\temp, например) для последующей конверсии при помощи puttygen. Первый вопрос пока актуален.

Show the best of all time