utilizzando wireshark / tshark nella row di command per ignorare le connessioni ssh

Sto cercando di debug alcuni guardando i pacchetti e vorrei evitare di get tutto il traffico SSH al server. C'è un modo per ignorare?

Ho provato a fare qualcosa di simile a " tshark -f "port !22" ma ha smesso di ascoltare dopo il command.

 [root@vpn ~]# tshark -f "port !22" tshark -f "port ls" Running as user "root" and group "root". This could be dangerous. Capturing on venet0 tshark: arptype 65535 not supported by libpcap - falling back to cooked socket. tshark: Invalid capture filter: "port ls"! That string isn't a valid capture filter (unknown port 'ls'). See the User's Guide for a description of the capture filter syntax. 0 packets captured [root@vpn ~]# 

2 Solutions collect form web for “utilizzando wireshark / tshark nella row di command per ignorare le connessioni ssh”

Sia tshark che tcpdump utilizzano la libreria pcap , quindi i filtri di cattura usano la syntax del pcap-filter . Il filter che volete è, come dice @tristan, "not port 22" . È ansible immettere questo argomento come string citata all'opzione -f oppure come argomento non specificato al command. I seguenti comandi sono equivalenti:

 # tshark -f "not port 22" # tshark -- not port 22 

Il motivo per cui si è lamentato il command precedente è che il tuo shell (probabilmente Bash) ha espanso "! 22" al command numero 22 nella cronologia dei comandi, che in questo caso era "ls". La documentazione di Bash ha maggiori informazioni sull'espansione della storia.

Non ho accesso ad un'installazione di tshark attualmente, ma supponendo che sia la stessa di tcpdump:

 sudo tcpdump not port 22 

quindi, potenzialmente:

 tshark not port 22 
Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.