¿Cómo configurar Wireshark para que registre SÓLO solicitudes de DNS?

Question

Especifique un filtro de captura usando-f "port 53".

Nota al margen: es tsharkahora, tetherealya no.

Para capturar localmente pero almacenar los datos en un servidor remoto, use -o /dev/stdoutcomo archivo de salida y canalice el comando a ssh:

tshark -i eth0 -f "port 53" -l -w - | ssh otherhost "cat > foo.pcap"

tcpdump -i eth0 -f "port 53" -l -w - | ssh otherhost "cat > foo.pcap"

También puedes hacer lo contrario: capturar en un servidor remoto pero almacenar los datos localmente:

ssh otherhost "tshark -i eth0 -f "port 53" -l -w -" > foo.pcap

ssh otherhost "tcpdump -i eth0 -f "port 53" -l -w -" > foo.pcap

Nota:Siempreespecifique un filtro de captura al almacenar datos como este. Si no lo hace, cada paquete provocará un bucle infinito.

Answer 1

Especifique un filtro de captura usando-f "port 53".

Nota al margen: es tsharkahora, tetherealya no.

Para capturar localmente pero almacenar los datos en un servidor remoto, use -o /dev/stdoutcomo archivo de salida y canalice el comando a ssh:

tshark -i eth0 -f "port 53" -l -w - | ssh otherhost "cat > foo.pcap"

tcpdump -i eth0 -f "port 53" -l -w - | ssh otherhost "cat > foo.pcap"

También puedes hacer lo contrario: capturar en un servidor remoto pero almacenar los datos localmente:

ssh otherhost "tshark -i eth0 -f "port 53" -l -w -" > foo.pcap

ssh otherhost "tcpdump -i eth0 -f "port 53" -l -w -" > foo.pcap

Nota:Siempreespecifique un filtro de captura al almacenar datos como este. Si no lo hace, cada paquete provocará un bucle infinito.

información relacionada