Paket-Mitschnitt mit Wireshark und LCOS

Gespeichert von Michael Kirgus am Mo., 10.01.2022 - 17:41

Ich hatte bisher nur die Möglichkeit gefunden, mittels des Trace im LANconfig einen Paket-Mitschnitt auf einem Interface durchführen zu können.

Es gibt aber auch die Möglichkeit, mit welcher dies mit einigen Optionen im LCOS und mit einigen Einstellung in Wireshark direkt am Client mit Auswahl der gewünschten Interfaces möglich ist (RPCap).

Der Vorteil liegt klar in den Filteroptionen und den Analysefunktionen, welche Wireshark von Haus aus bereitstellt und es ist nicht mehr notwendig, die Daten in Wirehark-Kompatible Formate umzuwandeln.

Folgende Einstellungen müssen in LCOS (getestet mit 10.50.0519) gesetzt sein:

https://<IP/Hostname>/config/2/63/11/ "RPCap-In-Betrieb" > Ja

Nun muss eine aktuelle Version von Wireshark auf einem Client installiert sein (getestet mit 3.6.1). Nach dem Start von Wireshark öffnen wir die Optionen für die Aufzeichnung:

Dort klicken wir unter rechts auf die Schaltfläche "Schnittstellen verwalten":

Im oberen Bereich wechseln wir auf die Registerkarte "Entfernte Schnittstellen":

Dann klicken wir unten links auf die Schaltfläche mit dem "+":

Nun öffnet sich das folgende Fenster:

Hier muss nun der Hostname/IP des LCOS-Gerätes angegeben werden sowie der Port 2002 (analog Screenshot der LCOS-Einstellungen).

Wichtig ist hier die Authentifizierung. Ohne Authentifizierung ist ein Paketmitschnitt nicht möglich, es muss ein Admin-Benutzer verwendet werden. In meinem Fall verwende ich den User "root":

Nach einigen Sekunden tauchen dann die Interfaces des LCOS-Gerätes in der Übersicht auf. Nach einem Klick auf "OK" sind diese dann auch in der Interface-Übersicht sichtbar:

Nun kann ein Interface ausgewählt und mit der Schaltfläche "Start" der Paketmitschnitt gestartet werden.

Es sollten wirklich nur die Interfaces ausgewählt werden, welche auch für den Mitschnitt benötigt werden. Da die Daten an den Client gespiegelt werden müssen kann dies eine hohe CPU/RAM-Last auf dem LCOS-Gerät hervorrufen.

Noch ein kleiner Tipp bezüglich Wireshark:

Es scheint wohl einen Bug zu geben, welcher auftritt wenn Wireshark geschlossen wird und versucht wird, die Schnittstellen erneut über die Schritte oben hinzuzufügen. Hier scheinen "Reste" in den Einstellungen übrig zu bleiben, welche das erneute Hinzufügen des Gerätes verhindern.

Damit die Schnittstellen erneut hinzugefügt werden können, folgenden Eintrag auswählen:

Dann alle Dialogfenster mit "OK" bestätigen und Wireshark schließen. Nach einem Neustart von Wireshark funktioniert das Hinzufügen der Interfaces wieder korrekt.

Neuen Kommentar hinzufügen

Sind Sie ein Mensch? Schlimm, aber leider notwendig:

Bild-CAPTCHA
Geben Sie die Zeichen ein, die im Bild gezeigt werden.
Aktuell
An