Question

我正在使用Wireshark 2.4.6便携式（从他们的网站下载），我正在尝试配置远程捕获我不清楚我应该在远程捕获命令行中使用什么。

在上面的页面中，他们说使用sshdump CLI相当于这个Unix CLI

ssh remoteuser@remotehost -p 22222 'tcpdump -U -i IFACE -w -' > FILE & $ wireshark FILE  w

Answer 1

您只需要在该窗口中配置SSH设置即可让Wireshark登录并运行tcpdump。

您可以将捕获命令保留为空，它将在eth0上捕获。仅在有特定要求时才需要更改它（例如，需要指定接口名称）。

您可能希望将捕获过滤器设置为not ((host x.x.x.x) and port 22)（用您自己的IP地址替换x.x.x.x），以使屏幕不会被自己的SSH流量淹没。

Answer 2

以下内容用作远程捕获命令：

/usr/bin/dumpcap -i eth0 -q -f 'not port 22' -w -

将eth0替换为可捕获流量的界面，将not port 22替换为远程捕获过滤器，记住不要捕获自己的ssh流量。

指定远程捕获命令时，其他捕获字段似乎被忽略。

已在Wireshark 3.2.3-1的Ubuntu 20.04（两端）上进行了测试。

默认的远程捕获命令似乎是tcpdump。

我还没有找到任何文档来说明如何将用于远程ssh捕获的GUI对话框选项转换为远程主机命令。

Answer 3

与sshdump有关，如果您无法通过命令行找到命令，请注意，默认情况下，并非所有平台上的命令都位于系统路径中。

对于GNU / Linux（例如，在我的情况下为Ubuntu 20.04，wireshark v3.2.3），它位于/usr/lib/x86_64-linux-gnu/wireshark/extcap/下。

如果您的系统上不是这种情况，确保安装mlocate（sudo apt install mlocate）然后使用locate sshdump查找其路径可能很方便（您可能会找到其他一些有趣的工具在同一位置-使用man页或--help来了解更多信息。