Wireshark · 3 min read · Dec 17, 2025
Cattura Remota con Wireshark
Cattura Remota con Wireshark
Falko ha scritto un bel tutorial con alcuni screenshot riguardanti l’uso di base di Wireshark.
Questo breve tutorial è senza screenshot ma un caso d’uso leggermente più avanzato di Wireshark, ovvero fare la cattura su una macchina e visualizzare i dati catturati in tempo reale su un’altra macchina.
Preliminari
Il seguente articolo descrive il modo in cui ho installato e utilizzato il software, non fornisco alcuna garanzia che lo stesso metodo funzioni per te. Dovresti avere alcune conoscenze di base su come fare le cose in una shell. Poiché Wireshark funziona su una vasta gamma di piattaforme, questo dovrebbe funzionare su quasi tutte le piattaforme supportate da Wireshark e Open-SSH. Nel mio caso erano coinvolti Debian e Ubuntu.
1. Il Problema
È successo che abbiamo avuto alcuni problemi sottili riguardanti il DNS, in particolare riguardo al Reverse-DNS. La nostra configurazione è semplice, abbiamo server DNS locali che inoltrano tutte le query che non possono risolvere a un DNS uplink, che dovrebbe occuparsi della successiva risoluzione dei nomi. Il DNS uplink è amministrato da un’altra organizzazione, il che ha portato al solito puntare il dito “non siamo colpevoli, la nostra attrezzatura funziona bene, dobbiamo fatturarti i costi, blabla …”. Sigh. Così ho pensato a come questo problema potesse essere ulteriormente analizzato e mi sono rapidamente ricordato del mio sistema descritto in https://www.howtoforge.com/trafficanalysis-using-debian-lenny. Perfetto, ho pensato, la macchina è già seduta accanto all’uplink, e dovrebbe essere facilmente possibile monitorare tutto il traffico che scorre sull’uplink e dare un’occhiata a tutto il traffico relativo al DNS, per vedere cosa succede.
La mia prima idea è stata di installare Wireshark direttamente su questa macchina, e con l’aiuto di un po’ di X11-forwarding vedere cosa sta succedendo sull’uplink. Ma non c’era abbastanza spazio su disco per installare Wireshark e tutte le librerie relative a X11.
2. La Soluzione
La mia idea successiva è stata di catturare il traffico sul probe in un file, copiare questo file sulla mia macchina normale e leggerlo in Wireshark. Ma quanto è scomodo, lungo e noioso, copiare file in giro o almeno montare unità sulla rete. Ma la soluzione è così semplice. Installa tshark (il fratello minore in modalità testo di Wireshark) sul probe, chiamalo da remoto con l’aiuto di ssh e pipe direttamente l’output di tshark in Wireshark! Questa soluzione è dal Wireshark Wiki, ma la semplicità mi ha entusiasta e stupito al punto da scrivere questo breve tutorial.
- Configura il login ssh senza password sul probe come descritto ad esempio qui, e verifica che funzioni.
- Sulla tua macchina locale dove si trova Wireshark e aspetta di fare qualcosa di utile, chiamalo semplicemente con
wireshark -k -i <( ssh -l root IP-del-probe /usr/bin/tshark -i eth0 -w - port 53 )e goditi. Il traffico è filtrato sul probe, in modo da non essere sopraffatto dalla vasta quantità di pacchetti che possono viaggiare sul tuo uplink. Il traffico catturato viene trasportato attraverso una connessione ssh sicura e crittografata dal probe alla macchina di visualizzazione e puoi vedere in tempo reale cosa sta succedendo sull’uplink.
Nel mio caso non ho dovuto filtrare il traffico ssh (come nell’esempio nel Wireshark Wiki), perché il sniffing viene effettuato su eth0, e il traffico ssh scorre su eth1.
Ci sono altri metodi descritti nel Wireshark Wiki che utilizzano pipe nominate, ma questo metodo che utilizza ssh mi è sembrato il più semplice da configurare.
Un piccolo problema che ho avuto mentre facevo questo, è che terminare Wireshark non ha terminato tshark sul probe, ma un
pkill tsharksul probe ha aiutato, oppure, se non sei loggato nel probe
ssh root@probe pkill tsharkdovrebbe funzionare.
Riguardo al nostro problema DNS, ho potuto immediatamente vedere cosa stava succedendo. ;-)
3. URL
- Tutorial di Wireshark di Falko: https://www.howtoforge.com/network-analysis-with-wireshark-on-ubuntu-9.10
- Il mio probe ntop: https://www.howtoforge.com/trafficanalysis-using-debian-lenny
- Wireshark + tshark: http://www.wireshark.org/
- Wiki di Wireshark: http://wiki.wireshark.org/
- libpcap + tcpdump: http://www.tcpdump.org/
- SSH: http://www.openssh.org/
- SSH senza password: http://www.debian-administration.org/articles/152
Ricevi i nuovi post nella tua casella di posta.
Nessuno spam. Disiscriviti in qualsiasi momento.