Wireshark::Capturando pacotes remotamente e exibindo localmente em tempo real

Vou explicar como capturar pacotes de rede em um servidor remoto e exibí-los na interface gráfica do Wireshark da sua estação local em tempo de execução. Nesta simulação usei as seguintes ferramentas:

1) Notebook com Wireshark instalado e sistema operacional MacOS 10.10.2;

2) Comando netcat (nc) para transportar os pacotes via rede;

3) Comando mkfifo para criar a fila de input dos pacotes;

4) Porta 9999 liberada para input no host local e output no servidor remoto

Primeiramente precisamos preparar o ambiente local. Para isso faça:

1) Crie a fila de input dos pacotes:

mkfifo /tmp/trace_pipe

2) Grave os pacotes recebidos no pipe:

nc -l 9999 > /tmp/trace_pipe

3) Rode o Wireshark para exibir os pacotes:

wireshark -k -S -i /tmp/trace_pipe

No servidor remotor basta executar o comando tcpdump de sua preferência e redirecione para o host de destino na porta correta. Segue exemplo:

tcpdump -i eth0 -s 65535 -w - port 443 | nc ip_da_estacao_local 9999</pre>



  Pronto agora seu troubleshooting ficará mais fácil e você terá certeza que capturou tudo o que precisava.




  Dúvida é só perguntar!!




  valeu!