Search

Remote tcpdump

개요
로컬 GUI wireshark 에서 ssh로 원격지 접속 후 tcpdump 의 결과를 실시간으로 볼 수 있음
참고
ssh 로 tcpdump의 결과를 받아와서 출력하기 때문에 해당 부분 딜레이 존재
윈도우에서 생성한 키로 접속시도 할경우 에러 발생함(cmd에서 ssh는 정상동작)
왜그런지 모름 ( 윈도우에서 생성한 키의 경우 호환되지 않는 키 파일이라 그런 것으로 추정.)
리눅스에서 키 생성해서 적용 필요
설치방법
wireshark 설치 시 모든 옵션 체크해서 설치해야함(기본 설치로는 SSH remote capture가 제외되어있음)
실행이 후 SSH remote capture 에 앞에 아이콘 클릭하면 설정 가능
tcpudmp명령과 필터 설정 현재 캡쳐는 eth2를 캡쳐하여 로컬 윈도우 wireshark에 출력 하도록 설정됨 22번 포트 제외해야해서 필터 들어감 tcpdump not tcp port 22 -i eth2 -s0 -w - not ((host 172.26.80.1 or host fe80::5dcc:bef1:6341:ca8c or host 192.168.112.1 or host fe80::167:dbad:a688:f62c or host 172.16.1.51 or host fe80::e09f:8594:d286:62b8 or host 192.168.56.1 or host fe80::b572:84de:6d2b:8b70 or host 10.0.0.51 or host fe80::8411:8e5b:c264:25aa) and port 22)