Wireshark实现远程抓包

Wireshark实现远程抓包

本文简述一下如何用wireshark和rpcapd实现远程抓包，服务器为LINUX，如果是windows服务器使用WinPcap也可以，windows服务器实现远程抓包有兴趣的可以研究下。 1. 下载下面的附件，通过SSH Secure Shell上传到要抓包的远程linux服务器的/opt目录下

rpcap.tar里面压缩的就是rpcapd rpcapd.sh这2个文件。

2.解压rpcapd.tar，输入命令：tar –xf rpcapd.tar

3.给文件添加可执行权限，输入命令：chmod 755 rpcapd rpcapd.sh 4.启动远程抓包进程，输入命令：./rpcapd –n

5.查看远程抓包进程是否启用，监听端口是2002，输入命令：netstat –natp | 2002

6.确定服务启用后就可以在本地的机器开启wireshark进行远程抓包，设置截图如下：

上述截图是远程抓取112.84.191.196这台服务器的eth0网卡的所有数据包，如果想抓取其他网卡的数据包，比如eth1只需更改eth0为eth1命令如下 rpcap://112.84.191.196:2002/eth1

然后点击start开始抓包，下图为成功抓取到远程服务器报文截图

7.设置rpcapd自启动方法 输入命令vi /etc/inittab，在后面加入如下信息 cap:2345:respawn:/opt/rpcapd.sh 截图如下：

本文来源：https://www.bwwdw.com/article/wuvw.html