Netzwerkanalyse · 3 min read · Dec 17, 2025
Wireshark Remote Capturing
Wireshark Remote Capturing
Falko hat ein schönes Tutorial mit einigen Screenshots zur grundlegenden Nutzung von Wireshark geschrieben.
Dieses kurze Tutorial ist ohne Screenshots, aber ein etwas fortgeschrittenerer Anwendungsfall von Wireshark, nämlich die Erfassung auf einer Box und die Visualisierung der erfassten Daten in Echtzeit auf einer anderen Box.
Vorbereitungen
Der folgende Artikel beschreibt, wie ich die Software installiert und verwendet habe. Ich gebe keine Garantie, dass es bei Ihnen auf die gleiche Weise funktioniert. Sie sollten einige Grundkenntnisse im Umgang mit einer Shell haben. Da Wireshark auf einer Vielzahl von Plattformen läuft, sollte es auf fast jeder Plattform funktionieren, die von Wireshark und Open-SSH unterstützt wird. In meinem Fall waren Debian und Ubuntu beteiligt.
1. Das Problem
Es kam vor, dass wir einige subtile Probleme mit DNS hatten, nämlich mit Reverse-DNS. Unser Setup ist einfach, wir haben lokale DNS-Server, die alle Anfragen, die sie nicht auflösen können, an einen Uplink-DNS weiterleiten, der sich um die weitere Namensauflösung kümmern sollte. Der Uplink-DNS wird von einer anderen Organisation verwaltet, was zu dem üblichen Fingerzeigen führte: “Wir sind nicht schuld, unsere Geräte funktionieren gut, wir müssen Ihnen die Kosten in Rechnung stellen, blabla …”. Seufz. Also dachte ich darüber nach, wie dieses Problem weiter analysiert werden könnte, und erinnerte mich schnell an mein System, das in https://www.howtoforge.com/trafficanalysis-using-debian-lenny beschrieben ist. Perfekt dachte ich, die Box steht bereits neben dem Uplink, und es sollte leicht möglich sein, den gesamten Verkehr, der über den Uplink strömt, zu überwachen und den gesamten DNS-bezogenen Verkehr zu betrachten, um zu sehen, was passiert.
Meine erste Idee war, Wireshark direkt auf dieser Box zu installieren und mit Hilfe eines kleinen X11-Forwardings zu sehen, was auf dem Uplink vor sich geht. Aber es war nicht genug Speicherplatz vorhanden, um Wireshark und die gesamten X11-bezogenen Bibliotheken zu installieren.
2. Die Lösung
Meine nächste Idee war, den Verkehr auf der Probe in eine Datei zu erfassen, diese Datei auf meine normale Box zu kopieren und sie in Wireshark zu lesen. Aber wie umständlich, langwierig, Dateien herumkopieren oder zumindest Laufwerke über das Netz einbinden. Aber die Lösung ist so einfach. Installieren Sie tshark (den textbasierten kleinen Bruder von Wireshark) auf der Probe, rufen Sie es remote mit Hilfe von ssh auf und leiten Sie die Ausgabe von tshark direkt in Wireshark! Diese Lösung stammt aus dem Wireshark-Wiki, aber die Einfachheit hat mich begeistert und dazu gebracht, dieses kurze Tutorial zu schreiben.
- Richten Sie die passwortlose ssh-Anmeldung auf der Probe ein, wie zum Beispiel hier beschrieben, und überprüfen Sie, ob es funktioniert.
- Auf Ihrer lokalen Box, auf der Ihr Wireshark sitzt und darauf wartet, etwas Nützliches zu tun, rufen Sie es einfach auf mit
wireshark -k -i <( ssh -l root IP-of-probe /usr/bin/tshark -i eth0 -w - port 53 )und genießen Sie es. Der Verkehr wird auf der Probe gefiltert, sodass Sie nicht von der riesigen Menge an Paketen überwältigt werden, die über Ihren Uplink reisen können. Der erfasste Verkehr wird über eine sichere, verschlüsselte ssh-Verbindung von der Probe zur Visualisierungsbox transportiert, und Sie können in Echtzeit sehen, was auf dem Uplink passiert.
In meinem Fall musste ich den ssh-Verkehr nicht herausfiltern (wie im Beispiel im Wireshark-Wiki), da das Sniffen auf eth0 erfolgt und der ssh-Verkehr über eth1 läuft.
Es gibt andere Methoden, die im Wireshark-Wiki beschrieben sind, die benannte Pipes verwenden, aber diese Methode mit ssh schien mir die einfachste zu sein.
Ein kleines Problem hatte ich dabei, dass das Beenden von Wireshark nicht tshark auf der Probe beendet hat, aber ein
pkill tsharkauf der Probe half, oder, wenn Sie nicht auf der Probe angemeldet sind,
ssh root@probe pkill tsharksollte auch funktionieren.
Bezüglich unseres DNS-Problems konnte ich sofort sehen, was vor sich ging. ;-)
3. URLs
- Falkos Wireshark-Tutorial: https://www.howtoforge.com/network-analysis-with-wireshark-on-ubuntu-9.10
- Mein ntop-Probe: https://www.howtoforge.com/trafficanalysis-using-debian-lenny
- Wireshark + tshark: http://www.wireshark.org/
- Wireshark-Wiki: http://wiki.wireshark.org/
- libpcap + tcpdump: http://www.tcpdump.org/
- SSH: http://www.openssh.org/
- passwortloses SSH: http://www.debian-administration.org/articles/152
Erhalte neue Beiträge in deinem Posteingang.
Kein Spam. Jederzeit abmelden.