Wireshark入门与进阶系列三之远程抓包

转自：https://blog.csdn.net/qq_29277155/article/details/52059974

0x00 前言

    我们都知道，wireshark可以实现本地抓包，同时Wireshark也支持remote packet capture protocol（rpcapd）协议远程抓包，只要在远程主机上安装相应的rpcapd服务例程就可以实现在本地电脑执行wireshark 捕获远程电脑的流量了。

0x01 windows 上安装或启动rpcapd服务

1 WinPcap 官网：http://www.winpcap.org/

在官网下载WinPcap 后，点击安装包后，即可按照正常流程进行进行安装

2 开启rpcapd服务

开启方式1：图形界面开启

① 首先 同时按键 “ win + r   ”  打开运行窗口，

②然后输入 “  services.msc  " 打开” 服务“ 窗口，

③找到 ” Remote Packet Capture Protocol v.0 (experimental) “ ，最后开启该服务。

开启方式2 ：命令行开启

①C:\Program Files (x86)\WinPcap

$ rpcapd.exe -h

# 我们可以看到rpcapd 的默认端口为2002

验证方式： netstat -an | findstr /i " 2002"                                   

②C:\Program Files (x86)\WinPcap        
$ rpcapd.exe -lnd                     
Press CTRL + C to stop the server...  

#如果我们不再需要该功能时，为了安全起见，应该将该服务关闭。以免其他人非法链接到远程主机进行流量监听。当然我们可以根据需求选择可以进行远程连接的主机的IIP。如果windows防火墙或者其他软件禁止该服务，请将该服务添加到白名单。

0x02 linux 上安装或启动rpcapd服务

1  编译安装

yum install glibc-static
wget http://www.winpcap.org/install/bin/WpcapSrc_4_1_2.zip    # http://www.winpcap.org/archive/  我们也可以在该连接下寻找合适的安装包
unzip WpcapSrc_4_1_2.zip
cd winpcap/wpcap/libpcap
chmod +x configure runlex.sh
CFLAGS=-static ./configure
make
cd rpcapd
make

2 运行服务

./rpcapd -n -d

# 备注如果无法正常运行，可能要修改iptables ,具体如下：

1. 如果SSH端口是22（这里不建议用默认端口最好改掉SSH端口）
# iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
# /etc/rc.d/init.d/iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables:[  OK  ]

2. 修改iptables开放2002端口 
# iptables -A INPUT -p tcp --dport 2002 -j ACCEPT
# iptables -A OUTPUT -p tcp --sport 2002 -j ACCEPT
# /etc/init.d/iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables:[  OK  ]

3. 查看iptables的内容
# vim iptables      #或者执行：# iptables -L

4. 重启iptables
# service iptables restart
iptables: Setting chains to policy ACCEPT: filter          [  OK  ]
iptables: Flushing firewall rules:                         [  OK  ]
iptables: Unloading modules:                               [  OK  ]

5. 运行./rpcapd -n
# ./rpcapd -n
Press CTRL + C to stop the server...
socket(): Address family supported by protocol (code 98)

0x03 基于windows本地主机捕获远程主机的流量

1 我们选择 wireshark （wireshark legacy 为英文版)

2 主界面 --->> 捕获--->> 选项（Ctrl +k）--->> 捕获接口--->> 管理接口（右下角）--->>远程接口--->> 选择 左下角的 ” + “  进行添加远程接口。

3 回到主界面，选择远程主机的接口，进行捕获流量。

#小提示，以上是破解版的AWVS打开时的抓包截图，从中可以看到每次打开该程序都会自动连接 www.acunetix.com 【 54.208.84.166 】和 erp.acunetix.com 【 217.115.140.112 】，同时也会发送一些application data 到这两个网站中去。从而可以推理出，我们使用该破解软件时，该破解软件会自动把我们曾经扫描过的网站和这些扫描日志等信息上传到WVS的服务器器中，该服务器一般位于德国和美国，为啥要连上去昵，明显是后门和发送数据。