5 votes

Tiffany Walker avatar

utilisation de wireshark/tshark en ligne de commande pour ignorer les connexions ssh

Demandé el 7 de Janvier, 2013
Quand la question a-t-elle été
14588 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'essaie de déboguer certains en regardant les paquets et je voudrais éviter de recevoir tout le trafic SSH vers le serveur. Existe-t-il un moyen de l'ignorer ?

J'ai essayé de faire quelque chose comme tshark -f "port !22" mais il a cessé d'écouter après la commande.

[root@vpn ~]# tshark -f "port !22"
tshark -f "port ls"
Running as user "root" and group "root". This could be dangerous.
Capturing on venet0
tshark: arptype 65535 not supported by libpcap - falling back to cooked socket.

tshark: Invalid capture filter: "port ls"!

That string isn't a valid capture filter (unknown port 'ls').
See the User's Guide for a description of the capture filter syntax.
0 packets captured
[root@vpn ~]#
Demandé el 7 de Janvier, 2013 par Tiffany Walker

Réponses

Trop de publicités?

8voto

Yamaho avatar
Yamaho Points 4053

Tshark et tcpdump utilisent tous les deux l'option pcap de sorte que les filtres de capture utilisent syntaxe de pcap-filter . Le filtre que vous voulez est, comme le dit @tristan, "not port 22" . Vous pouvez l'entrer comme argument de chaîne entre guillemets dans la commande -f ou en tant qu'argument non cité de la commande. Les commandes suivantes sont équivalentes :

# tshark -f "not port 22"
# tshark -- not port 22

La raison pour laquelle tshark s'est plaint de votre commande ci-dessus est que votre Shell (probablement Bash) a étendu "!22" à la commande numéro 22 dans votre historique de commandes, qui dans ce cas était "ls". Le site Documentation sur Bash a plus d'informations sur l'expansion de l'histoire.

Répondu el 7 de Janvier, 2013 par Yamaho (4053 Points )

2voto

89c3b1b8-b1ae-11e6-b842-48d705 avatar
89c3b1b8-b1ae-11e6-b842-48d705 Points 1465

Je n'ai pas accès à une installation de tshark actuellement, mais je suppose que c'est la même chose que le tcpdump :

sudo tcpdump not port 22

donc, potentiellement :

tshark not port 22
Répondu el 7 de Janvier, 2013 par 89c3b1b8-b1ae-11e6-b842-48d705 (1465 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X