Wireshark'ın SADECE DNS isteklerini kaydetmesi nasıl ayarlanır?

Bu çalışıyor:

tethereal -i eth0 -w /root/mycapture.pcap

ama her paketi yakalar. Sadece DNS isteklerini yakalamam gerekiyor. Mümkün mü? Sunucu Linux'tur.

Diğer bir şey: Dosyanın ağ üzerinden başka bir bilgisayara kaydedilmesi mümkün mü? Sunucunun yalnızca yakalama dosyası için yeterince büyük olmayan küçük bir sabit diski var.

Teşekkürler.

— thebigapplee
kaynak

Kullanarak bir yakalama filtresi belirtin -f "port 53".

Yan not: bu tshark şimdi değil tethereal Artık.

Yerel olarak yakalamak, ancak verileri uzak bir sunucuda saklamak için - veya /dev/stdout çıktı dosyası olarak ssh:

tshark -i eth0 -f "port 53" -l -w - | ssh otherhost "cat > foo.pcap"

tcpdump -i eth0 -f "port 53" -l -w - | ssh otherhost "cat > foo.pcap"

Bunun tersini de yapabilirsiniz - uzaktaki bir sunucuda yakalayın, ancak verileri yerel olarak saklayın:

ssh otherhost "tshark -i eth0 -f "port 53" -l -w -" > foo.pcap

ssh otherhost "tcpdump -i eth0 -f "port 53" -l -w -" > foo.pcap

Not: Her zaman Bu gibi verileri depolarken bir yakalama filtresi belirtin. Bunu yapmazsanız, her paket sonsuz bir döngüye neden olur.

— grawity
kaynak

İçin adam sayfası tethereal ve Wireshark Kullanıcı Kılavuzu SSH ile çalıştırıldığında varsayılan olarak uygulanan filtrelerden bahsedin. İlk durumda (uzak sunucuya depolama), bu geçerli olmaz, ancak ikinci durumda?

— Daniel Beck

Teşekkürler, bu şimdi dns yakalamak. Ancak yerel bilgisayarıma kaydedilen dosyayı almak konusunda kafam karıştı. Windows 7 dizüstü bilgisayardan sahip olduğum bir sunucuya girmek için ssh kullanıyorum. Dizüstü bilgisayarıma gönderilecek dosyayı, yakalandıkça sunucudan nasıl alabilirim?

— thebigapplee

@DanielBeck: Teşekkürler, bunu bilmiyordum.

— grawity

@ thebigapplee: İkinci yöntemi kullan ("uzaktaki bir sunucuda yakala"). PuTTY kullanıyorsanız, değiştirin ssh ile plink.

— grawity

ve 'otherhost'u neyle değiştiriyorum, bilgisayarımı nasıl bulacak?

— thebigapplee