[OpenWRT/Linux] – Traffic remote analysieren

Funktionsweise:

Über ssh wird auf der Remotemaschine tcpdump gestartet und die Ausgabe davon über ssh nach /tmp/pipe weitergeleitet. Wireshark liest diese dort aus und zeigt sie in bekannter Weise an.

Setting:

Remote: Router mit Linux(in diesem Fall openWRT) und shellzugang über ssh.
br-lan ist in diesem Fall die „nic“ über die der gesamte Traffic übertragen wird.

Konfiguration:

installieren von tcpdump auf Remote.

opkg install tcpdump

Mehr muss auf der Gegenstelle nicht installiert werden.

Workstation:
apt-get install wireshark
mkfifo /tmp/pipe

Nun benötigt man zwei Terminalfenster oder eins mit zwei Tabs.
in das erste kommt:

ssh root@hostname "tcpdump -i br-lan -s 0 -U -w - not port 22" > /tmp/pipe

es erfolg zunächst keine Ausgabe
in das zweite kommt:

wireshark -k -i /tmp/pipe

Darauf hin wird, wenn wireshark gestartet ist, im ersten Fenster das root-passwort verlangt.
Wireshark beginnt nun über ssh die Daten von tcpdump zu empfangen und darzustellen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.