Wireshark实现远程抓包
本文简述一下如何用wiresharkrpcapd实现远程抓包,服务器为LINUX,如果是windows服务器使用WinPcap也可以,windows服务器实现远程抓包有兴趣的可以研究下。
1. 下载下面的附件,通过SSH Secure Shell上传到要抓包的远程linux服务器的/opt目录下
rpcap.tar里面压缩的就是rpcapd rpcapd.sh这2个文件。
2.解压rpcapd.tar,输入命令:tar –xf rpcapd.tar
3.给文件添加可执行权限,输入命令:chmod 755 rpcapd rpcapd.sh
4.启动远程抓包进程,输入命令:./rpcapd –n
linux中netstat命令5.查看远程抓包进程是否启用,监听端口是2002,输入命令:netstat –natp | 2002
6.确定服务启用后就可以在本地的机器开启wireshark进行远程抓包,设置截图如下:
上述截图是远程抓取112.84.191.196这台服务器的eth0网卡的所有数据包,如果想抓取其他网卡的数据包,比如eth1只需更改eth0为eth1命令如下
rpcap://112.84.191.196:2002/eth1
  然后点击start开始抓包,下图为成功抓取到远程服务器报文截图
7.设置rpcapd自启动方法 输入命令vi /etc/inittab,在后面加入如下信息
  cap:2345:respawn:/opt/rpcapd.sh
截图如下: