Как снимать сетевой трафик для создания файла pcap в режиме командной строки на удаленном хосте и открывать его через локальный Wireshark (GUI)

tcpdump -v -i -s 0 -w /tmp/sniff.pcap port # On the remote side


Команда tcpdump позволяет снимать сетевой трафик на удаленном хосте и записывать его в файл pcap. Для этого необходимо указать интерфейс, с которого будет производиться запись (-i), порт, на котором будет происходить съем трафика (port), а также имя файла для записи (-w). Опция -s 0 указывает на максимальный размер пакета.

Записанный файл pcap можно открыть с помощью утилиты Wireshark, которая позволяет анализировать полученный трафик в графическом интерфейсе. Для этого необходимо скопировать файл pcap с удаленного хоста на локальную машину и открыть его в Wireshark.

Альтернативной командой для съема сетевого трафика может быть tcpflow. Однако, в отличие от tcpdump, tcpflow не поддерживает запись трафика в файл pcap и не позволяет анализировать трафик в графическом интерфейсе.

Ответить

Ваш адрес email не будет опубликован. Обязательные поля помечены *