wireshark远程抓包

wireshark支持remote packet capture protocol（rpcapd）协议远程抓包，只要在远程主机上安装相应的rpcapd服务。

环境

• 本地
  • Windows 10.0.19044，wireshark 3.6.7
• 远程
  • CentOS Linux release 7.7.1908

远程Linux环境准备

1. 安装基础依赖

yum install glibc-static

2. 下载 WpcapSrc
   文件所在的地址为 https://www.winpcap.org/archive/，可根据需要选择合适的版本，本文选择的是最新版。

wget https://www.winpcap.org/archive/4.1beta5_WpcapSrc.zip --no-check-certificate

将下载的文件解压

unzip 4.1beta5_WpcapSrc.zip

添加执行权限

chmod +x configure runlex.sh

配置静态编译

CFLAGS=-static ./configure

编译

make

3. 启动服务

./rpcapd -n -d

-n 表示无需认证
-d 表示以守护进程方式运行
更多参数可通过 ./rpcapd -h 查看

本地Windows捕获远程主机的流量

主界面 -> 捕获 -> 选项 -> Manage Interfaces … -> 添加远程接口

在点击Manage Interface ...之前要确保远程服务器上面的 rpcapd 服务已经开启，否则就会出现如下错误：

如下图所示添加远程接口，注意默认端口是 2002 （可通过 rpcapd -h 查看，也可以通过 -p 参数指定端口）

添加完成后，在远程接口 菜单下即可看见远程服务器上的可采集流量的网卡。

回到主界面，在捕获菜单的选项中可选择输入的网卡，其中就可以选择远程服务器的网卡。
至此，就可以开始采集远程服务器中的流量了。