Auf dem Quellserver wird tcpdump benötigt.
Installation tcpdump
apt install tcpdump
Um als unprivilegierter User tcpdump auszuführen kann man die /etc/sudoers erweitern um tcpdump ohne Passwort auszuführen.
myuser ALL=(ALL:ALL) NOPASSWD: /usr/bin/tcpdump
Auf der Workstation wo Wireshark ausgeführt wird müssen 2 Anpassungen gemacht werden:
sudo usermod -a -G wireshark mylocaluser sudo chmod +x /usr/bin/dumpcap
Um auf der Workstation den Remotedump zu starten und an den Wireshark zu übergeben folgendes Kommando ausführen:
ssh myuser@192.168.20.10 sudo tcpdump -i eth0 -U -s0 -w - 'not port 22' | wireshark -k -i -
Der Parameter -i kann auf das entsprechende Interface angepasst werden. Es wird ein Filter angewendet um SSH rauszufiltern um den Traffic des Dumps nicht im Dump zu haben.