我想在启动后tshark运行Raspberry Pi或在指定的时间段内运行Wireshark并将捕获的数据包保存到文件中。然后,我的Windows笔记本电脑上的Wireshark可以访问此文件。我想这样做是因为我想捕获数据包,例如当我不在家时,然后可以在我回家时分析捕获的数据。那可能吗?如何在启动后或在指定的时间段内开始捕获文件,然后将其发送到笔记本电脑上的this.checked?
答案 0 :(得分:1)
tcpdump -s 0 -i eth0 -W 1 -w dump.pcap -G 3600 port ftp or http
将继续将所有匹配的数据包写入dump.pcap 3600秒。然后,您可以将该文件复制到您的计算机,并使用Wireshark的打开对话框正常加载它。
如果需要,您也可以使用dumpcap甚至tshark,但tcpdump非常适合这种情况。
至于在系统启动时运行,结帐:
Run automatically program on startup under linux ubuntu或者只需在tcpdump的末尾添加&行/etc/rc.local。
答案 1 :(得分:0)
您可以在主机上执行类似的操作。
ssh user @ remotehost / usr / local / bin / tshark -l -w-| wirehark -k -i-
这将在远程计算机上打开一个tshark并将其连接到本地计算机上的Wireshk。