SSH 远程捕获 Wireshark - Shell-Bash

在实际开发中，常常需要在远程服务器上捕获网络数据包进行分析。SSH 远程捕获 Wireshark 可以实现在远程服务器上捕获数据包，并将数据包通过 SSH 传输到本地机器上，方便进行分析。 以下是实现远程捕获数据包的 Shell 脚本：

#!/bin/bash

# 本地存储路径，需根据实际情况修改
LOCAL_PATH="/Users/xxx/Documents/wireshark"

# 远程服务器上的存储路径，需根据实际情况修改
REMOTE_PATH="/home/xxx/wireshark-remote"

# 远程服务器的 IP 地址，需根据实际情况修改
REMOTE_IP="xxx.xxx.xxx.xxx"

# 远程服务器上启动 tshark 捕获数据包，并将数据包写入到本地文件中
ssh -t $REMOTE_IP "sudo tshark -w $REMOTE_PATH/packets.pcap"

# 通过 SSH 将远程服务器上的数据包传输到本地机器上
scp $REMOTE_IP:$REMOTE_PATH/packets.pcap $LOCAL_PATH

# 停止远程服务器上的 tshark 进程
ssh $REMOTE_IP "sudo killall tshark"

以上脚本中，首先需要设置本地存储路径、远程服务器上的存储路径和远程服务器的 IP 地址。然后，通过 SSH 连接远程服务器，在远程服务器上启动 tshark 捕获数据包，并将数据包写入到指定的文件中。随后，使用 scp 命令将远程服务器上的数据包传输到本地机器上，最后停止远程服务器上的 tshark 进程。

该脚本可以通过 crontab 等工具实现定时捕获网络数据包，有利于开发人员及时发现及处理网络问题。