Un apunte rápido. Necesitaba capturar tráfico en un linux remoto, pero no quería pasar por la aro de hacer una instalación completa de Wireshark, es demasiado ‘pesado’ para equipos poco potentes (por ejemplo, Pi2 con linux Gentoo).
Solución: Ejecutar tcpdump en la Pi con Linux y ejecutar Wireshark en iMac con OSX y conseguir que la salida de tcpdump sea la entrada de Wireshark. Parece magia pero verás que es extremadamente sencillo. Asumo que conoces SSH y sudo, no lo describo aquí y son los únicos requisitos para que esto acabe siendo tan fácil.
OPCIÓN 1 con mkfifo
Las dos sesiones de Terminal.app las ejecuto ambas en mi iMac: Es el equipo donde veremos WireShark y pedimos la ejecución remota de tcpdump mediante SSH. Abre dos sesiones de Terminal.app. Se usa un fichero intermedio de tipo FIFO.
- Sesión 1
1 2 | $ mkfifo /tmp/remote $ wireshark -k -i /tmp/remote |
- Sesión 2
1 | $ ssh luis@gentoopi.parchis.org "sudo tcpdump -s 0 -U -n -w - -i eth0 not port 22" > /tmp/remote |
OPCIÓN 2 sin mkfifo
Más sencillo todavía (gracias Joan), desde mi Mac ejecuto un único comando:
- Sesión 1
1 | $ ssh luis@gentoopi.parchis.org "sudo tcpdump -s 0 -U -n -w - -i eth0 not port 22" | wireshark -k -i - |
Hola, desde hace algunos días estoy leyendo tus notas y de verdad bien están, poco lugares para encortar notas basadas en gentoo
Mucha éxito