Aplicación con salida similar a la salida GUI de "WireShark"

9

Sé que WireShark permite la captura de paquetes en vivo, así como los detalles que se pueden mostrar en la GUI. ¿Existe algún programa similar que funcione en una CLI, en lugar de una GUI? Está destinado para su uso en una instalación de servidor, en la que solo está disponible la CLI (y también donde el espacio en disco es limitado, tanto que las dependencias para los wiresharkpaquetes no pueden instalarse (es decir, los paquetes para la GUI).

10.10 10.04 networking command-line software-recommendation Thomas Ward
fuente

Respuestas:

10

Claro, tshark (text shark) es el mismo programa, pero con una interfaz de línea de comandos no interactiva.

También puede ejecutar tshark en el servidor y transferir las capturas a través de ssh a una interfaz gráfica de Wirehark que se ejecuta en otro lugar.

Por ejemplo:

  mbp@joy% sudo tshark -i wlan0 -p  -R 'http'
  Capturing on wlan0
  3.929359 192.168.178.22 -> 66.102.11.104 HTTP GET / HTTP/1.1 
  4.104763 66.102.11.104 -> 192.168.178.22 HTTP HTTP/1.1 301 Moved Permanently  (text/html)
  4.118925 192.168.178.22 -> 66.102.11.104 HTTP GET / HTTP/1.1 
  4.295749 66.102.11.104 -> 192.168.178.22 HTTP HTTP/1.1 302 Found  (text/html)
  4.355713 192.168.178.22 -> 66.102.11.104 HTTP GET / HTTP/1.1 
  4.560568 66.102.11.104 -> 192.168.178.22 HTTP HTTP/1.1 200 OK  (text/html)
  4.588767 192.168.178.22 -> 66.102.11.104 HTTP GET /images/nav_logo40.png HTTP/1.1

También puede hacerlo tshark ... |tee packetlogpara que vaya tanto a la pantalla como al archivo.

O, alternativamente, tshark -w stuff.pcapescribirá los paquetes sin procesar en ese archivo, que luego puede copiar en otra máquina y abrir dentro de la interfaz gráfica de Wirehark, si desea realizar una investigación más profunda.

billar
fuente
1
¿Podría hacer algo similar sudo tshark -i wlan0 -p -R 'http' > packetlogs.txto algo similar en la terminal, de modo que registre todo en un archivo y tal vez ejecute este comando en una screensesión o algo así? Odiaría hacer un tcpdump, porque eso sería un PITA después de un tiempo.
Thomas Ward
1
PARA EL REGISTRO ... Probé tsharkdurante aproximadamente una hora, y comparé la salida con la salida de wireshark. Muestra exactamente lo que necesito (el análisis completo de paquetes) en tsharkla salida, especialmente. en el archivo que tenía la salida ir a. Funciona para mí ahora, será una increíble alternativa de CLI a wireshark de esta manera :)
Thomas Ward
1

tshark Instalar tshark es una buena opción.

Una alternativa es tcpdump Instalar tcpdump , que es un predecesor conocido. Está ampliamente disponible en otras plataformas, por lo que puede encontrarse con él incluso si no lo usa en su servidor.

belacqua
fuente
Sí, tengo problemas con tcpdump (básicamente porque es un PITA porque simplemente no le gusta funcionar bien en mi sistema: /)
Thomas Ward
@EvilP Entonces tshark podría ser el camino a seguir. Utilizo tcpdump principalmente en sistemas donde está disponible y wireshark / tshark no lo está. Por lo general, termino tirando las capturas de nuevo en la GUI de Wirehark, de todos modos.
belacqua