Anda dapat menangkap lalu lintas USB dengan Wireshark.
Dari wiki-nya:
Untuk membuang lalu lintas USB di Linux, Anda memerlukan
usbmonmodul, yang telah ada sejak Linux 2.6.11 . Informasi tentang modul tersebut tersedia di/usr/src/linux/Documentation/usb/usbmon.txtdi pohon sumber Linux. Bergantung pada distribusi yang Anda gunakan, dan versi distribusi itu, modul itu mungkin dibangun ke dalam kernel, atau mungkin modul yang dapat dimuat; jika itu adalah modul yang dapat dimuat, tergantung pada distribusi yang Anda gunakan, dan versi distribusi itu, itu mungkin atau mungkin tidak dimuat untuk Anda. Jika ini adalah modul yang dapat dimuat, dan tidak dimuat, Anda harus memuatnya dengan perintahmodprobe usbmonyang harus dijalankan sebagai root.
rilis libpcap sebelum 1.0 tidak menyertakan dukungan USB, jadi Anda memerlukan setidaknya libpcap 1.0.0 .
Untuk versi kernel sebelum 2.6.21 , satu-satunya mekanisme penangkapan lalu lintas USB yang tersedia adalah mekanisme berbasis teks yang membatasi jumlah total data yang diambil untuk setiap blok USB mentah hingga sekitar 30 byte. Tidak ada cara untuk mengubahnya tanpa menambal kernel. Jika debugfs belum terpasang pada
/sys/kernel/debug, pastikan sudah terpasang di sana dengan mengeluarkan perintah berikut sebagai root:mount -t debugfs / /sys/kernel/debugUntuk versi kernel 2.6.21 dan yang lebih baru , ada protokol biner untuk melacak paket USB yang tidak memiliki batasan ukuran tersebut. Untuk versi kernel tersebut, Anda memerlukan libpcap 1.1.0 atau yang lebih baru , karena dukungan USB libpcap 1.0.x menggunakan, tetapi tidak menangani dengan benar, mekanisme pemetaan memori untuk lalu lintas USB, yang akan digunakan libpcap jika tersedia - tidak dapat dibuat tidak tersedia, sehingga libpcap akan selalu menggunakannya.
Di libpcap 1.0.x, perangkat untuk merekam di USB memiliki nama
usbn,di mana n adalah nomor bus. Di libpcap 1.1.0 dan yang lebih baru, mereka memiliki namausbmonn.Anda juga memerlukan Wireshark 1.2.x atau yang lebih baru .