Como configurar o Wireshark para registrar SOMENTE solicitações de DNS?

Question

Especifique um filtro de captura usando-f "port 53".

Nota lateral: é tsharkagora, não tetherealmais.

Para capturar localmente, mas armazenar os dados em um servidor remoto, use -ou /dev/stdoutcomo arquivo de saída e canalize o comando para ssh:

tshark -i eth0 -f "port 53" -l -w - | ssh otherhost "cat > foo.pcap"

tcpdump -i eth0 -f "port 53" -l -w - | ssh otherhost "cat > foo.pcap"

Você também pode fazer o oposto – capturar em um servidor remoto, mas armazenar os dados localmente:

ssh otherhost "tshark -i eth0 -f "port 53" -l -w -" > foo.pcap

ssh otherhost "tcpdump -i eth0 -f "port 53" -l -w -" > foo.pcap

Observação:Sempreespecifique um filtro de captura ao armazenar dados como este. Caso contrário, cada pacote causará um loop infinito.

Answer 1

Especifique um filtro de captura usando-f "port 53".

Nota lateral: é tsharkagora, não tetherealmais.

Para capturar localmente, mas armazenar os dados em um servidor remoto, use -ou /dev/stdoutcomo arquivo de saída e canalize o comando para ssh:

tshark -i eth0 -f "port 53" -l -w - | ssh otherhost "cat > foo.pcap"

tcpdump -i eth0 -f "port 53" -l -w - | ssh otherhost "cat > foo.pcap"

Você também pode fazer o oposto – capturar em um servidor remoto, mas armazenar os dados localmente:

ssh otherhost "tshark -i eth0 -f "port 53" -l -w -" > foo.pcap

ssh otherhost "tcpdump -i eth0 -f "port 53" -l -w -" > foo.pcap

Observação:Sempreespecifique um filtro de captura ao armazenar dados como este. Caso contrário, cada pacote causará um loop infinito.

informação relacionada