Paket-Capture auf UTM lide in Wireshartk (auf Windows PC) anzeigen

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
AndreasFuchs
Beiträge: 5
Registriert: Mi 11.05.2022, 15:51

Paket-Capture auf UTM lide in Wireshartk (auf Windows PC) anzeigen

Beitrag von AndreasFuchs »

Ich in letzter Zeit  mehrere male gefragt worden bin, ob man auf der Securpoint Wireshark-Mitschnitte anfertigen kann.
Bei Variante mit tcpdump und download der Datei wurde ich darauf hingewiesen, dass man die Informationen ja nicht in Echtzeit sieht
und das die Live Ansicht von tcpdump nicht so gut auszuwerten ist, wie Wireshark.
Nach einigen Suchen im Internet habe ich einen Artikel gefunden, der beschreibt, wie man auf einem Windows 10 PC über die cmd, eine SSH-Verbindung zu einem Unix Gerät aufbauen und tcpdump starten und den Mitschnitt zum Wireshartk auf dem eigenen Rechner weiter leiten kann.
Falls noch jemand das gebrauchen könnte ist hier ein Befehl, mit der man auf einer SecurePoint mit der IP-Adresse 192.168.0.1 sich per SSH als root User (<- anlegen oder Support-User verwenden) und auf Traffic auf dem Interface A0 mitschneiden und an das lokal installierte Wireshark senden kann .

ssh root@192.168.1.1 "/usr/sbin/tcpdump -i A0 -U -w - " | wireshark -i - -k

Wenn man diese Befehl in der cmd eingibt, öffnet sich gleich Wireshark, man muss aber noch einmal zu dem cmd-Fenster zurück wechseln und das Passwort für den verwendeten SSH-User eingeben.

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Danke für den Tipp!

Gruß

Franz

AndreasFuchs
Beiträge: 5
Registriert: Mi 11.05.2022, 15:51

Beitrag von AndreasFuchs »

Anmerkung: inzwischen ist tcpdump nicht mehr unter /user/sbin zu finden, daher muss der Befehl wir folgt abgeändert werden

ssh root@192.168.1.1 "/usr/bin/tcpdump -i A0 -U -w - " | wireshark -i - -

Antworten