Recentemente deparei-me com a necessidade de analisar tráfego, em tempo real, de servidores remotos com recurso ao Wireshark. A solução encontrada para capturar pacotes remotamente foi a criação de um “named pipe”.
O “named pipe” foi criado com o seguinte comando:
mkfifo /tmp/remote_ppr
Uma vez criado o “named pipe” foi efetuado um tcpdump no servidor remoto fazendo o output para o “named pipe” utilizando o seguinte comando:
ssh root@myserver “tcpdump -s 0 -U -n -w – -i eth0 ‘not port 22 and (host 10.51.234.1 or host 10.51.234.2)'” > /tmp/remote
Por fim, foi iniciado o wireshark a efetuar a leitura dos pacotes recebidos pelo “named pipe”
wireshark -k -i /tmp/remote