Das funktioniert:
tethereal -i eth0 -w /root/mycapture.pcap
aber es erfasst jedes Paket. Ich muss nur DNS-Anfragen erfassen. Ist das möglich? Der Server ist Linux.
Eine weitere Frage ist: Ist es möglich, die Datei über ein Netzwerk auf einem anderen Computer zu speichern? Der Server verfügt nur über eine kleine Festplatte, die für die Aufnahmedatei nicht groß genug ist.
Danke.
Antwort1
Festlegen eines Erfassungsfilters mithilfe von-f "port 53".
Randbemerkung: Das ist tsharkjetzt so, nicht tetherealmehr.
Um die Daten lokal zu erfassen, aber auf einem Remote-Server zu speichern, verwenden Sie -oder /dev/stdoutals Ausgabedatei und leiten Sie den Befehl weiter an ssh:
tshark -i eth0 -f "port 53" -l -w - | ssh otherhost "cat > foo.pcap"
tcpdump -i eth0 -f "port 53" -l -w - | ssh otherhost "cat > foo.pcap"
Sie können auch das Gegenteil tun – die Daten auf einem Remote-Server erfassen, aber lokal speichern:
ssh otherhost "tshark -i eth0 -f "port 53" -l -w -" > foo.pcap
ssh otherhost "tcpdump -i eth0 -f "port 53" -l -w -" > foo.pcap
Notiz:StetsGeben Sie beim Speichern dieser Daten einen Erfassungsfilter an. Andernfalls verursacht jedes Paket eine Endlosschleife.