主页 / computer / 问题 / 1585650
Accepted
chendoy
Asked: 2020-09-16 05:49:38 +0800 CST

使用带有远程接口的 Wireshark

  • 772

我有一个使用 SSH 登录的远程容器,并希望使用 Wireshark 捕获其流量。

在 mac 或 linux 环境中我可以写

ssh remote-ssh-host 'sudo tcpdump -U -i eth1 -w -' | wireshark -i - -k

有人知道windows等价物吗?

ssh wireshark

1 个回答

  1. Best Answer

    CaptureSetup /Pipes文章有一些用于 Windows 的命名 FIFO 示例,并提到 Wireshark 支持从 TCP 连接读取捕获,而不仅仅是从管道中读取。

    1. 启动捕获并将其通过管道传输到 TCP 侦听器中:

      ssh -L 12345:127.0.0.1:12345 root@host "socat -u exec:'tcpdump -U -w - -i eth1' tcp-l:12345,bind=127.0.0.1"

      或者

      ssh -L 12345:127.0.0.1:12345 root@host "tcpdump -U -w - -i eth1 | nc -v -l -s 127.0.0.1 -p 12345"

    2. 另外,启动 Wireshark:

      "C:\Program Files\Wireshark\Wireshark.exe" -k -i [email protected]:12345

    如果您在 Windows 上没有 OpenSSH,但有 PuTTY,则替换sshplink(或可能plink -no-antispoof);所有其他选项保持不变。

    • 1

相关问题