Wireshark -> Datei auslesen

[brainshock]

Wie kann ich mit Wireshark eine Datei auslesen, in die immer geschrieben wird? Also ein Server stellt eine Datei zur Verfügung, die solange gefüllt wird, bis man den Schreibe-Vorgang abbricht.
Mit Wireshark kann ich die entstandene Datei öffnen. Aber ich möchte nicht speichern, sondern X Stunden mitschneiden, auswerten und dann ggf. eigene Pakete speichern. Der Server schreibt immer weiter in die Datei, auf die Wireshark zugreift.

 

[Albu]

Also entweder kannst Du die Daten z.B. per Linux auf der Kommandozeile vorfiltern, etwa mit ``tcpdump -r <dumpdatei> -w <gefiltertedatei> <filter>´´ oder Du filterst in Wireshark und wählst beim Speichern aus, dass er nur die angezeigten Pakete speichern soll.

 

[brainshock]

Aber ich muss in Wireshark erstmal die Quelle angeben. Und ich weiß nicht wo.

Die Adresse http://dingens.gs/cgi-bin/tcpdump?Start gibt eine Datei zurück, die man herunterladen muss. Diese Datei könnte ich unendlich lange laden und sie wird immer größer. Diese vom Script bereitgestellte Datei will ich in Wireshark als Quelle angeben (als Device? Pipe? Stream?) und live auswerten - nur wie?

 

[Albu]

Ich denke nicht, dass Du eine Live-Auswertung mit Wireshark hinbekommen wirst. Wenn Du ein dummy Interface anlegen würdest, welches Du mit dem Stream von der URL füttern würdest, um dieses Interface dann in Wireshark zu sniffen, dann würde es gehen, aber unter Windows ist das bestimmt ein Riesen-Heckmeck. Selbst unter Unix wüßte ich nicht, wie man da Daten in ein loop Device einschmuggelt.

Unter Unix könnte man aber die Datei Pipen und mittels tcpdump (linux) live filtern.

Es wird Dir also nichts übrig bleiben, als die Datei herunterzuladen, und quasi offline mit Wireshark zu öffnen.

Wie gesagt unter Unix / serverseitig läßt sich da vermutlich mehr machen.