blog · git · desktop · images · contact & privacy · gopher

---

X11-Traffic mitschneiden

2020-10-06

Es gibt ein paar Programme, um die Kommunikation zwischen einem X11-Client und dem Server mitzuschneiden:

• http://cgit.freedesktop.org/xorg/app/xscope/
• https://x11vis.org/

Aus Gründen benutze ich lieber Wireshark. Und so macht man’s damit.

Man braucht noch X11-Forwarding, muss das also zunächst in der /etc/ssh/sshd_config des lokalen Daemons einschalten:

X11Forwarding yes

(Ob man das dauerhaft aktiviert haben will, sei einem selbst überlassen. Man bedenke die Sicherheitsimplikationen.)

Dann zur eigenen Maschine verbinden:

$ ssh -Y localhost
[pinguin]$ echo $DISPLAY
localhost:10.0
[pinguin]$

Jetzt hat man ein TCP-Socket an der Hand, das man dumpen kann – statt des Defaults, einem UNIX-Socket, bei dem das nicht geht:

$ sudo ss -tulnp 'sport = 6010'
Netid   State    Recv-Q   Send-Q     Local Address:Port     Peer Address:Port  Process  
tcp     LISTEN   0        128            127.0.0.1:6010          0.0.0.0:*      users:(("sshd",pid=29713,fd=10))

Mitschneiden:

$ sudo tcpdump -ni lo port 6010 -w cap

Wireshark:

Im Zweifel verraten Quell- und Zielport die Richtung des Traffics.

Comments?