WIRESHARK¶
Comment installer Wireshark et capturer le traffic réseau d'un serveur distant via SSH.
1. Installation¶
sudo apt install wireshark tcpdump -yNote: A installer sur le serveur ainsi que sur la machine cliente "streamant" le flux réseau.
2. Configuration¶
-
Ajouter l'utilisateur au groupe wireshark
sudo usermod -aG wireshark $USER -
Récupérer l'interface réseau du serveur distant:
ssh -p 2222 remote-user@123.45.67.89 # L'interface connectée au réseau est celle qui donne l'adresse IP publique ip a
Note: Il est préférable d'avoir éffectué l'échange de clefs SSH via la commande:
ssh-copy-id remote-user@server-ip
2.1 Interface Wireshark¶
- Cliquer sur SSH remote capture dans le menu Capture:
- Entrer l'adresse IP publique du serveur ainsi que le port SSH de connection:
- Entrer le nom de l'utilisateur distant du serveur ainsi que le chemin vers la clef SSH privée:
- Renseigner l'interface du serveur distant dans Remote interface ainsi que dans la remote command:
Note: Il est d'usage d'ajouter l'argument 'not(host server-IP and port SSH)' pour ne pas polluer la capture avec le traffic généré par la connection au serveur.
Le remote filter se configure automatiquement à la première connection pour enlever le traffic du loopback (127.0.0.1) ainsi que de la machine cliente capturant le flux du serveur.
3. References¶
Pour plus d'informations, consulter la documentation de Wireshark ou le wiki