Application avec sortie similaire à la sortie GUI de «WireShark»

9

Je sais que WireShark permet la capture de paquets en direct ainsi que les détails pouvant être affichés dans l'interface graphique. Existe-t-il un programme similaire qui fonctionne sur une CLI, plutôt qu'une interface graphique? Ceci est destiné à être utilisé sur une installation de serveur, dans laquelle seule la CLI est disponible (et également où l'espace disque est limité, à tel point que les dépendances pour les wiresharkpackages ne peuvent pas être installées (c'est-à-dire les packages pour l'interface graphique).

10.10 10.04 networking command-line software-recommendation Thomas Ward
la source

Réponses:

10

Bien sûr, tshark (text shark) est le même programme, mais avec une interface de ligne de commande non interactive.

Vous pouvez également exécuter tshark sur le serveur et transférer les captures via ssh vers un GUI Wireshark exécuté ailleurs.

Par exemple:

  mbp@joy% sudo tshark -i wlan0 -p  -R 'http'
  Capturing on wlan0
  3.929359 192.168.178.22 -> 66.102.11.104 HTTP GET / HTTP/1.1 
  4.104763 66.102.11.104 -> 192.168.178.22 HTTP HTTP/1.1 301 Moved Permanently  (text/html)
  4.118925 192.168.178.22 -> 66.102.11.104 HTTP GET / HTTP/1.1 
  4.295749 66.102.11.104 -> 192.168.178.22 HTTP HTTP/1.1 302 Found  (text/html)
  4.355713 192.168.178.22 -> 66.102.11.104 HTTP GET / HTTP/1.1 
  4.560568 66.102.11.104 -> 192.168.178.22 HTTP HTTP/1.1 200 OK  (text/html)
  4.588767 192.168.178.22 -> 66.102.11.104 HTTP GET /images/nav_logo40.png HTTP/1.1

Vous pouvez également le faire tshark ... |tee packetlog, il va à la fois à l'écran et au fichier.

Ou, alternativement, tshark -w stuff.pcapécrira les paquets bruts dans ce fichier, que vous pourrez ensuite copier sur une autre machine et ouvrir dans l'interface de wirehark, si vous souhaitez effectuer une enquête plus approfondie.

poolie
la source
1
Puis-je également faire quelque chose comme sudo tshark -i wlan0 -p -R 'http' > packetlogs.txtou quelque chose de similaire dans le terminal, afin qu'il enregistre tout dans un fichier, et peut-être exécuter cette commande dans une screensession ou quelque chose? Je détesterais faire un tcpdump, car ce serait un PITA après un certain temps.
Thomas Ward
1
POUR L'ENREGISTREMENT ... J'ai testé tsharkpendant environ une heure et j'ai comparé la sortie avec la sortie de Wireshark. Il montre exactement ce dont j'ai besoin (l'analyse complète des paquets) dans tsharkla sortie de, en particulier. dans le fichier j'ai eu la sortie aller. Fonctionne pour moi maintenant, ce sera une alternative CLI impressionnante à Wirehark de cette manière :)
Thomas Ward
1

tshark Installer tshark est une bonne option.

Une alternative est tcpdump Installer tcpdump , qui est un prédécesseur bien connu. Il est largement disponible sur d'autres plates-formes, vous pouvez donc le rencontrer même si vous ne l'utilisez pas sur votre serveur.

belacqua
la source
ouais, j'ai des problèmes avec tcpdump (essentiellement avec un PITA parce qu'il n'aime pas bien fonctionner sur mon système: /)
Thomas Ward
@EvilP Alors tshark pourrait être la voie à suivre. J'utilise tcpdump principalement sur les systèmes où il est disponible et filshark / tshark ne l'est pas. Je finis généralement par retirer les captures dans l'interface graphique de wirehark, de toute façon.
belacqua