概述
WireShark即能抓本地流量包,也能抓取远程主机流量包;需要分别在基于Linux和Windows系统的主机上安装支持远程抓包的rpcapd服务,然后就可在本地电脑通过WireShark捕获远程主机流量了
Linux 远程抓包分析
安装环境:
系统:CentOS-7-x86_64-Minimal-1810
rpcapd:v4.1.2
1.编译安装并启动 rpcapd 服务,默认监听在 2002/TCP 端口
# 安装编译环境及依赖yum install -y glibc-static wget unzip gcc flex bison# 指定目录下载源码包cd /usr/lcoal/src/wget http://www.winpcap.org/install/bin/WpcapSrc_4_1_2.zip# 解压源码包并开始编译unzip WpcapSrc_4_1_2.zipcd /usr/lcoal/src/winpcap/wpcap/libpcapchmod +x configure runlex.sh && CFLAGS=-static ./configuremake && cd rpcapd && make# 默认方式启动./rpcapd # 关闭防火墙systemctl stop firewalld
2.本地 WireShark 抓包工具添加远端主机信息(Ip地址、2002、登录账号)获取其抓包端口;具体操作如下图所示:
效果如下图所示:
查看可抓取的接口列表(本地和远程)
抓取数据包效果图:
windows远端流量抓取同理,需要安装 rpcapd,请各位小伙伴自行研究测试,这里就不给大家演示了!