Wireshark en remote via un tube nommé

Plop …

Je viens de découvrir l’utilisation des tubes pour utiliser wireshark en « remote », en balançant du tcpdump à distance dans le tube lu sur la machine locale par wireshark (en résumé ;)).

La manipulation est très simple et est à effectuer sur la machine locale :

mkfifo /tmp/wirepipe
ssh root@10.75.25.1 "tcpdump -s 65535 port 80 -w -" > /tmp/wirepipe

Explication :
On créer un tube nommé wirepipe
On ouvre une session root sur la machine 10.75.25.1 et on lance un tcpdump qui sniff le port 80 (de 10.75.25.1) et renvoi le tout à la sortie standard qui est renvoyé au tube.

Dans un autre terminal, on lance Wireshark :

wireshark -k -i /tmp/wirepipe

Et voilà, tout ce qui passe dans le tube est lue par wireshark en temps réel (plutôt sympa pour décoder des trams sur des serveurs en prod debug), et beaucoup plus simple que de faire du tcpdump, puis de télécharger le dump et le lire avec wireshark en local, et c’est plus secure que de faire sniffer directement wireshark sur le réseau.