Wireshark · 1 min read · Dec 17, 2025
Wiresharkリモートキャプチャ
Wiresharkリモートキャプチャ
FalkoはWiresharkの基本的な使用法に関するいくつかのスクリーンショットを含む素晴らしいチュートリアルを書きました。
この短いチュートリアルはスクリーンショットなしですが、Wiresharkのやや高度な使用例、つまり1台のボックスでキャプチャを行い、別のボックスでキャプチャしたデータをリアルタイムで視覚化する方法について説明します。
前提
以下の記事では、私がソフトウェアをインストールして使用した方法について説明します。同じ方法があなたにもうまくいくことを保証するものではありません。シェルで作業する基本的な知識が必要です。Wiresharkはさまざまなプラットフォームで動作するため、WiresharkとOpen-SSHがサポートするほぼすべてのプラットフォームで動作するはずです。私の場合、DebianとUbuntuが関与していました。
1. 問題
DNSに関して微妙な問題が発生しました。具体的には、リバースDNSに関する問題です。私たちのセットアップはシンプルで、ローカルDNSサーバーが解決できないすべてのクエリをアップリンクDNSに転送し、さらなる名前解決を行います。アップリンクDNSは別の組織によって管理されており、通常の指摘「私たちは悪くない、私たちの機器は正常に動作している、あなたに費用を請求しなければならない、など…」が発生しました。ため息。そこで、この問題をさらに分析する方法を考え、https://www.howtoforge.com/trafficanalysis-using-debian-lennyで説明した私のシステムをすぐに思い出しました。完璧だと思いました。ボックスはすでにアップリンクの隣にあり、アップリンクを通過するすべてのトラフィックを監視し、DNS関連のトラフィックを確認することが簡単にできるはずです。
最初のアイデアは、このボックスにWiresharkを直接インストールし、少しのX11フォワーディングを利用してアップリンクで何が起こっているのかを見ることでした。しかし、WiresharkとすべてのX11関連ライブラリをインストールするための十分なディスクスペースがありませんでした。
2. 解決策
次のアイデアは、プローブでトラフィックをファイルにキャプチャし、そのファイルを通常のボックスにコピーしてWiresharkで読み込むことでした。しかし、面倒で長ったらしく、ファイルをコピーしたり、少なくともネットワーク経由でドライブをマウントしたりする必要があります。しかし、解決策は非常にシンプルです。プローブにtshark(Wiresharkのテキストモード関連の小さな兄弟)をインストールし、sshの助けを借りてリモートで呼び出し、tsharkの出力を直接Wiresharkにパイプします!この解決策はWireshark Wikiからのもので、シンプルさに感動し、この短いチュートリアルを書くことにしました。
- プローブでパスワードなしのsshログインを設定し、動作していることを確認します。
- Wiresharkが待機しているローカルボックスで、次のように呼び出します。
wireshark -k -i <( ssh -l root IP-of-probe /usr/bin/tshark -i eth0 -w - port 53 )そして楽しんでください。トラフィックはプローブでフィルタリングされるため、アップリンクを通過する膨大なパッケージに圧倒されることはありません。キャプチャされたトラフィックは、プローブから視覚化ボックスに安全で暗号化されたssh接続を介して転送され、リアルタイムでアップリンクで何が起こっているのかを見ることができます。
私の場合、sshトラフィックをフィルタリングする必要はありませんでした(Wireshark Wikiの例のように)、なぜならスニッフィングはeth0で行われ、sshトラフィックはeth1を通過するからです。
Wireshark Wikiには名前付きパイプを使用する他の方法も説明されていますが、sshを使用するこの方法が最も簡単に設定できるように思えました。
これを行っている間に1つの小さな問題がありました。Wiresharkを終了してもプローブ上のtsharkは終了しませんでしたが、
pkill tsharkをプローブで実行することで解決しました。または、プローブにログインしていない場合は、
ssh root@probe pkill tsharkでも動作するはずです。
私たちのDNS問題に関して、すぐに何が起こっているのかを見ることができました。;-)
3. URL
- FalkoのWiresharkチュートリアル: https://www.howtoforge.com/network-analysis-with-wireshark-on-ubuntu-9.10
- 私のntopプローブ: https://www.howtoforge.com/trafficanalysis-using-debian-lenny
- Wireshark + tshark: http://www.wireshark.org/
- Wireshark Wiki: http://wiki.wireshark.org/
- libpcap + tcpdump: http://www.tcpdump.org/
- SSH: http://www.openssh.org/
- パスワードなしSSH: http://www.debian-administration.org/articles/152
新しい投稿を受信箱で受け取る
スパムはありません。いつでも購読を解除できます。