Перенаправление stdout tcpdump в wireshark

0

4

Видел в интернете кейс удаленного запуска tcpdump через ssh с просмотром дампа в реальном времени на локальной машине в wireshark

ssh user12@192.168.0.13 -S 'sudo tcpdump -i any -w - -s 0' | wireshark -k –i -

Но wireshark выдает: Data written to the pipe is neither in a supported pcap format nor in pcapng format. Please report this to the developers of the program writing to the pipe.

Сталкивался ли кто с такой проблемой? Возможно ли заставить tcpdump выводить в совместимом формате?

Ссылка

←	nginx 1.17.8

У кого-то на работе есть «NOC team» ?

→

не твоё? https://osqa-ask.wireshark.org/questions/49410/remote-capture-with-tcpdump-and-named-pipe

~~gnu_linux~~ ★
(21.01.20 20:19:28 MSK)

Ссылка

Локаль проверь

pon4ik ★★★★★
(21.01.20 20:25:17 MSK)

Ссылка

Вроде у wireshark есть своя утиль для захвата трафика «tshark»

От версии к версии у tcpdump есть разница, да есть еще зависимость от версии libpcap.

У меня tcpdump понимает '-w -' дословно, т.е. пишет в файл '-'

Работает такая конструкция:

tcpdump -Unqi eth1 -s0 -w /dev/stdout | tcpdump -nr -

Если сделать

tcpdump -Unqi eth1 -s0 -w /dev/stdout -c 200 | cat >zz.pcap && file zz.pcap

то результат

zz.pcap: pcap capture file, microsecond ts (little-endian) - version 2.4 (Ethernet, capture length 262144)

PS Хорошо бы "-B 16384" добавить, чтоб потери были меньше и не забыть исключить трафик ssh иначе сеть будет перегружена.

"-n" tcpdump-у помогает не тормозить на резолвинге.

PPS

wireshark -k -i <( ssh -l root IP-of-probe /usr/bin/tshark -i eth0 -w - port 53 )

vel ★★★★★
(22.01.20 21:42:51 MSK)
Последнее исправление: vel 22.01.20 21:43:32 MSK (всего исправлений: 1)

Ответ на: комментарий от vel 22.01.20 21:42:51 MSK

Сейчас проверил, дело точно не в версии tcpdump, клиентом SSH был Kali Linux Xfce, сервером Manjaro i3, tcmpdump -V на обоих тачках выдал:

tcpdump: option requires an argument -- 'V'
tcpdump version 4.9.3
libpcap version 1.9.1 (with TPACKET_V3)
OpenSSL 1.1.1d  10 Sep 2019

Так как пробовал на виртуальных машинах, просто скопировал кали и попробовал пробрасывать вывод tcpdump с кали на кали, моя изначальная команда заработала (правда еще ключ -U добавил). Возможно дело таки в локалях, на одной машине LANG=ru_RU, на другой en_US.

NordeN
(23.01.20 09:49:46 MSK) автор топика

Ответ на: комментарий от NordeN 23.01.20 09:49:46 MSK

Дело не в локали. У меня LANG=ru_RU.UTF-8

Самое важное во всей этой истории с tcpdump-ом - это ключ '-U'. Без него точно работать не будет.

vel ★★★★★
(23.01.20 10:04:00 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	nginx 1.17.8

Admin

У кого-то на работе есть «NOC team» ?

→

Похожие темы