Назад | Перейти на главную страницу

Как я могу создать файл захвата пакетов на автономном сервере для одного процесса?

Я пишу скрипт python на безголовом сервере, и я хотел бы увидеть выходные данные захвата пакетов для скрипта.

Я не могу запустить ettercap или Wireshark на сервере, так как слишком много другого шума (кроме того, wirehark - это инструмент с графическим интерфейсом). Однако у меня есть доступ к sudo.

Есть ли способ захвата пакетов, сгенерированных только этим скриптом? Желательно в формате, который может быть загружен в Wireshark (не обязательно, однако я могу тащиться по тексту, если необходимо)

Да, можно с помощью iptables и dumpcap. Резюме:

# iptables -A OUTPUT -m owner --pid-owner 1000 -j CONNMARK --set-mark 1
# iptables -A INPUT -m connmark --mark 1 -j NFLOG --nflog-group 30 
# iptables -A OUTPUT -m connmark --mark 1 -j NFLOG --nflog-group 30 
# dumpcap -i nflog:30 -w pid-1000.pcap

Это захватит весь трафик с идентификатором процесса 1000. Эти команды должны быть запущены на самом хосте (где доступна информация PID).

Wireshark имеет утилиту командной строки. Я использовал его на удаленных компьютерах, где у меня был доступ только к консоли, он работает довольно хорошо. Потребуется всего несколько минут чтения параметров, чтобы узнать, как им пользоваться.

C:\Program Files (x86)\Wireshark>dumpcap.exe -h
Dumpcap 1.10.3 (SVN Rev 53022 from /trunk-1.10)
Capture network packets and dump them into a pcapng file.
See http://www.wireshark.org for more information.

Usage: dumpcap [options] ...

Capture interface:
  -i <interface>           name or idx of interface (def: first non-loopback),
                           or for remote capturing, use one of these formats:
                               rpcap://<host>/<interface>
                               TCP@<host>:<port>
  -f <capture filter>      packet filter in libpcap filter syntax
  -s <snaplen>             packet snapshot length (def: 65535)
  -p                       don't capture in promiscuous mode
  -B <buffer size>         size of kernel buffer in MB (def: 2MB)
  -y <link type>           link layer type (def: first appropriate)
  -D                       print list of interfaces and exit
  -L                       print list of link-layer types of iface and exit
  -d                       print generated BPF code for capture filter
  -k                       set channel on wifi interface <freq>,[<type>]
  -S                       print statistics for each interface once per second
  -M                       for -D, -L, and -S, produce machine-readable output

RPCAP options:
  -r                       don't ignore own RPCAP traffic in capture
  -u                       use UDP for RPCAP data transfer
  -A <user>:<password>     use RPCAP password authentication
  -m <sampling type>       use packet sampling
                           count:NUM - capture one packet of every NUM
                           timer:NUM - capture no more than 1 packet in NUM ms
Stop conditions:
  -c <packet count>        stop after n packets (def: infinite)
  -a <autostop cond.> ...  duration:NUM - stop after NUM seconds
                           filesize:NUM - stop this file after NUM KB
                              files:NUM - stop after NUM files
Output (files):
  -w <filename>            name of file to save (def: tempfile)
  -g                       enable group read access on the output file(s)
  -b <ringbuffer opt.> ... duration:NUM - switch to next file after NUM secs
                           filesize:NUM - switch to next file after NUM KB
                              files:NUM - ringbuffer: replace after NUM files
  -n                       use pcapng format instead of pcap (default)
  -P                       use libpcap format instead of pcapng

Miscellaneous:
  -N <packet_limit>        maximum number of packets buffered within dumpcap
  -C <byte_limit>          maximum number of bytes used for buffering packets wi
thin dumpcap
  -t                       use a separate thread per interface
  -q                       don't report packet capture counts
  -v                       print version information and exit
  -h                       display this help and exit

Example: dumpcap -i eth0 -a duration:60 -w output.pcapng
"Capture packets from interface eth0 until 60s passed into output.pcapng"

Use Ctrl-C to stop capturing at any time.

Другой вариант - трубка dumpcap вывод через SSH в wirehark, запущенный на вашем локальном компьютере.

wireshark -k -i <(ssh -l USER REMOTEHOST "dumpcap -i lo -P -w - -f 'not tcp port 22'")

Это откроет экземпляр wirehark, локально отображающий трафик с удаленного компьютера. Скорее всего, вы захотите изменить фильтр not tcp port 22 чтобы предотвратить передачу слишком большого объема трафика по сети.