Assim.
tshark -nn -i <interface> -s 0 -w mycapture.pcap <hostname> and port <portnumber>
Substitua <interface>
pelo nome da interface a ser capturada (por exemplo, eth0
). Substitua <hostname>
pelo nome ou endereço IP do host remoto para o qual você deseja capturar os pacotes. Substitua <portnumber>
pela porta em que o serviço está sendo executado (provavelmente 443
).
Você também pode usar tcpdump
. Tanto o Wireshark quanto o tcpdump
usam o libpcap para capturar, então você capturará exatamente a mesma informação. Você também pode copiar o arquivo resultante e abri-lo no Wireshark em um computador diferente.
Os sinalizadores de linha de comando para tcpdump
e tshark
estão próximos o suficiente para que, na maioria dos casos, eles possam ser usados de maneira intercambiável.