Как анализировать трафик удаленно через SSH с помощью Wireshark

mkfifo /tmp/fifo; ssh-keygen; ssh-copyid root@remotehostaddress; sudo ssh root@remotehost "tshark -i eth1 -f 'not tcp port 22' -w -" > /tmp/fifo &; sudo wireshark -k -i /tmp/fifo;


Эта команда выполняет несколько действий по анализу удаленного трафика с использованием Wireshark через SSH.

1. mkfifo /tmp/fifo предназначено для создания именованного канала FIFO в операционной системе.
2. ssh-keygen генерирует SSH-ключ для входа по безопасному протоколу SSH.
3. ssh-copyid root@remotehostaddress выполняет копирование созданного ранее SSH-ключа на удаленный хост для авторизации без ввода пароля.
4. sudo ssh root@remotehost «tshark -i eth1 -f ‘not tcp port 22’ -w -» > /tmp/fifo & запускает команду tshark на удаленном хосте, которая фильтрует и записывает весь трафик, за исключением порта 22 (SSH), в созданный ранее именованный канал FIFO.
5. sudo wireshark -k -i /tmp/fifo запускает Wireshark для чтения и анализа трафика из именованного канала FIFO.

Эта команда полезна, когда необходимо анализировать трафик удаленного хоста без необходимости входить на него напрямую. Альтернативой может быть использование инструментов, таких как tcpdump, для захвата трафика и упаковка его в файлы pcap, которые затем можно анализировать локально.

Ответить

Ваш адрес email не будет опубликован. Обязательные поля помечены *