Monitoring del traffico di rete su server remoto con Wireshark

Creato il 01 aprile 2015 da Michelepinassi @michele_pinassi

Per chi ama la comodità dell’interfaccia grafica di Wireshark, con la quale si può non solo verificare in tempo reale il traffico di rete ma anche impostare filtri dinamici e tutta una nutrita serie di funzioni, possono esserci problemi quando si tratta di dover monitorare il traffico su server remoti dove non vi è interfaccia grafica.

Fortunatamente, grazie ad ssh (Secure SHell) ed ai “pipe”, è possibile eseguire Wireshark sulla nostra macchina “sniffando” il traffico di rete su un server remoto.

Il tutorial completo ed “ufficiale” è disponibile, in inglese, a questa pagina: https://wiki.wireshark.org/CaptureSetup/Pipes

Come prima cosa verifichiamo di avere dumpcap (parte di Wireshark) ed il server ssh installato sul server remoto. Nel caso, possiamo installare entrambi con:

sudo apt-get install wireshark openssh-server

una volta installati e verificato che la connessione ssh dal nostro pc al server funziona correttamente, possiamo creare la nostra “pipe” locale aprendo un terminale e digitando il comando:

mkfifo /tmp/sharkfin

Wireshark in attesa di ricevere dati dalla pipe

e successivamente lanciare Wireshark indicando a riga di comando di attendere l’input dalla nostra “pipe” FIFO (First In First Out – “il primo che arriva è il primo che esce”):

wireshark -k -i /tmp/sharkfin &

La ‘&’ a fine comando indica di restituire il controllo alla consolle senza attendere il termine dell’esecuzione, così da permetterci di aprire il tunnel ssh con il server remoto senza dover aprire una ulteriore shell:

ssh [utente]@[ip server remoto] "dumpcap -P -i [interfaccia] -w - -f 'not tcp port 22'" > /tmp/sharkfin

Questo comando apre una connessione SSH con il server [ip server remoto] usando il nome utente [utente] ed eseguendo, sempre sul server remoto, il comando “dumpcap -P -i [interfaccia] -w – -f ‘not tcp port 22′“: il filtro -f ‘not tcp port 22′ esclude dal monitoraggio il traffico ssh, evitando un antipatico loop.

Nella consolle saranno visualizzate alcune informazioni:

Capturing on eth1
File: -
Packets: 1645

mentre il nostro Wireshark visualizzerà tutti i frame catturati sull’interfaccia [interfaccia] del server remoto. Per interrompere il monitoraggio potete premere Ctrl-C in consolle e, se volete, cancellare la pipe con un semplice ‘rm /tmp/sharkfin‘.


Potrebbero interessarti anche :

Possono interessarti anche questi articoli :

  • Spagna, il voto in Andalusia e la crisi del bipartitismo

    Print PDFdi Davide VittoriTiene il Partido Socialista Obrero Español (PSOE), crolla il Partido Popular (PP) e il bipartitismo continua a traballare. Leggere il seguito

    Il 24 marzo 2015 da   Bloglobal
    OPINIONI, POLITICA, POLITICA INTERNAZIONALE, SOCIETÀ
  • Fugace avventura

    Un solco di luce, che riga il tramonto, un rimbombo eteroclito di tuoni lontanie sei partita.La scia del tuo aereo si dissolve meno in fretta del profumo che... Leggere il seguito

    Il 23 marzo 2015 da   Il Coniglio Mannaro
    OPINIONI
  • I segni di compleanno

    Oggi  è il compleanno di voi-sapete-chi, e domani è il mio compleanno. Io compio 33 anni, lui 41 (questo per acclarare che io sono incredibilmente giovane e... Leggere il seguito

    Il 23 marzo 2015 da   Gynepraio
    OPINIONI, TALENTI
  • La fine del principio

    La fine del proletariato come inizio della rivoluzione - Sul nesso logico tra teoria della crisi e teoria della rivoluzione - di Ernst Lohoff 1. Leggere il seguito

    Il 09 marzo 2015 da   Francosenia
    CULTURA, OPINIONI, SOCIETÀ
  • La colonia "F"

    In questi giorni il Coniglio ha un po' da fare. È impelagato in un paio di progetti complessi, ha una congiuntura lavorativa sfavorevole e vive in una famiglia ... Leggere il seguito

    Il 03 marzo 2015 da   Il Coniglio Mannaro
    OPINIONI
  • Quando la lettura è pesante (per me)

    Il 2014, per me, è stato un anno disastroso in fatto di letture. Il mio ritmo è rallentato sensibilmente, e i motivi sono diversi, uno tra tanti la mancanza di... Leggere il seguito

    Il 19 gennaio 2015 da   Bangorn
    DIARIO PERSONALE, OPINIONI, RACCONTI, TALENTI