wireshark支持remote packet capture protocol(rpcapd)协议远程抓包,只要在远程主机上安装相应的rpcapd服务。
yum install glibc-static
wget https://www.winpcap.org/archive/4.1beta5_WpcapSrc.zip --no-check-certificate
将下载的文件解压
unzip 4.1beta5_WpcapSrc.zip
添加执行权限
chmod +x configure runlex.sh
配置静态编译
CFLAGS=-static ./configure
编译
make
./rpcapd -n -d
-n
表示无需认证
-d
表示以守护进程方式运行
更多参数可通过 ./rpcapd -h
查看
主界面 -> 捕获 -> 选项 -> Manage Interfaces … -> 添加远程接口
在点击
Manage Interface ...
之前要确保远程服务器上面的rpcapd
服务已经开启,否则就会出现如下错误:
如下图所示添加远程接口,注意默认端口是 2002
(可通过 rpcapd -h
查看,也可以通过 -p
参数指定端口)
添加完成后,在远程接口
菜单下即可看见远程服务器上的可采集流量的网卡。
回到主界面,在捕获
菜单的选项
中可选择输入的网卡,其中就可以选择远程服务器的网卡。
至此,就可以开始采集远程服务器中的流量了。