Isso funciona:
tethereal -i eth0 -w /root/mycapture.pcap
mas captura cada pacote. Eu só preciso capturar solicitações de DNS. Isso é possível? O servidor é o Linux.
Outra coisa é: é possível ter o arquivo salvo em uma rede para outro computador? O servidor tem apenas um pequeno disco rígido que não é grande o suficiente para o arquivo de captura.
Obrigado.
Respostas:
Especifique um filtro de captura usando -f "port 53".
Nota lateral: é tshark agora não tethereal não mais.
Para capturar localmente, mas armazenar os dados em um servidor remoto, use - ou /dev/stdout como o arquivo de saída, e canalizar o comando para ssh:
tshark -i eth0 -f "port 53" -l -w - | ssh otherhost "cat > foo.pcap"
tcpdump -i eth0 -f "port 53" -l -w - | ssh otherhost "cat > foo.pcap"
Você também pode fazer o oposto - capturar em um servidor remoto, mas armazenar dados localmente:
ssh otherhost "tshark -i eth0 -f "port 53" -l -w -" > foo.pcap
ssh otherhost "tcpdump -i eth0 -f "port 53" -l -w -" > foo.pcap
Nota: Sempre especifique um filtro de captura ao armazenar dados como este. Se você não fizer isso, cada pacote causará um loop infinito.
ssh com plink.
tethereale a Guia do Usuário do Wireshark mencione os filtros que são aplicados por padrão quando executados via SSH. No primeiro caso (armazenar no servidor remoto), isso não se aplica, mas no segundo caso?