Como configurar uma captura remota do wireshark?

Eu geralmente uso tcpdump para capturar pacotes:

 tcpdump -s0 -w </path/to/save/file>.pcap "<PCAP FILTER>"

em que <PCAP_FILTER> é sua consulta, como host 192.168.86.1 para capturar pacotes de / para 192.168.86.1 . Todos os argumentos para isso podem ser encontrados em uma pesquisa, ou procure nas páginas man obtidas com man pcap-filter .

Ele irá capturar todo o pacote, em vez de apenas os cabeçalhos com -s0 . Portanto, não use esse argumento para capturas de longa duração, pois o arquivo ficará grande.

Suponha que o tcpdump esteja instalado no M1, você pode fazer o ssh dizer user no M1 e user é permitido para sudo no M1. Então você poderia fazer

ssh user@M1 'sudo /usr/sbin/tcpdump "PCAP FILTER"'  
# will give you text output
ssh user@M1 'sudo /usr/sbin/tcpdump -w - "PCAP FILTER"' > /path/to/file.pcap  
# will save binary output to .pcap file

Você deve fazer o seu "PCAP FILTER" para que o M2 seja excluído do dump; caso contrário, a conexão M2- > M1 também será registrada. Você será perguntado pela senha do usuário no M1, ou você pode autenticar por chave pública, depende da configuração ssh do M1.

Ou, usando tshark como você pediu:

ssh user@M1 'sudo /path/to/tshark -R <filter> -w -' > capture.pcap

Para "filtro", o mesmo vale para o anterior.