Bootstrap

Wireshark之远程抓包

1.场景描述

工作中有时候分析问题想要抓包,但是目标服务器由于各种原因无法在目标服务器进行抓包,这是就需要远程抓包分析。

wireshark可以实现本地抓包,同时Wireshark也支持remote packet capture protocol(rpcapd)协议远程抓包,只要在远程主

机上安装相应的rpcapd服务就可以实现在本地电脑执行wireshark 捕获远程电脑的流量了

2. 安装&启动WinPcap

1) 下载安装

官网下载点击安装包后,即可按照正常流程进行进行安装。

2) 开启rpcapd服务

a) “ win + r   ”  打开运行窗口,

b)  然后输入 “  services.msc  " 打开” 服务“ 窗口,

c) 找到 ” Remote Packet Capture Protocol v.0 (experimental) “ ,开启该服务。

如果我们不再需要该功能时,为了安全起见,应该将该服务关闭。以免其他人非法链接到远程主机进行流量监听。当然可

以根据需求设置可以进行远程连接的主机的IP。如果windows防火墙或者其他软件禁止该服务,请将该服务添加到白名单。

3) Linux下安装启动rpcapd

如果远程抓包的机器是linux,需要安装rpcapd,以便让 Wireshark 连接该服务器,安装方法如下:

a) 安装相应依赖

 # yum install glibc-static flex binutils

b)  下载rpcapd安装包,也可以官网下载

# cd /home

# wget http://www.winpcap.org/install/bin/WpcapSrc_4_1_2.zip

# unzip WpcapSrc_4_1_2.zip

c) 编译rpcapd

# cd /home/winpcap/wpcap/libpcap

# chmod +x configure runlex.sh

# CFLAGS=-static ./configure

# make

# cd rpcapd && make

d) 运行服务

# ./rpcapd -n -d

3. 远程机抓包

这里,测试举例远程服务器为Windows,远程机器需要安装WinPcap,并启动。

1) 开启远程机rpcapd服务,参考上一步开启Windows下,rpcapd服务(若远程机为linux,参考上一步Linux下安装启动rpcapd)。

2) 打开 Wireshark(以中文版为例),主界面 --->> 捕获--->> 选项(Ctrl +k)--->> 捕获接口--->> 管理接口(右下角)--->>远程接口--->> 选择 左下角的 ” + “  进行添加远程接口(服务器带认证的需要添加用户名密码,端口可不填),点击OK完成添加。

3) 选择远程机的对应的网卡接口,添加过滤器条件,开始抓包捕获流量。

此时,可以分析远程机器流量包了。

;