wireshark抓取远程主机流量

WireShark即能抓本地流量包，也可以抓取远程主机流量包[支持remote packet capture protocal(rpacapd)]

此篇讲解分别在基于Linux和Windows系统的主机上安装支持远程抓包的rpcapd服务，然后就可在本地电脑通过WireShark捕获远程主机流量了

一、Windows系统上安装并启动rpcapd服务

(1)软件下载：https://www.winpcap.org/install/bin/WinPcap_4_1_3.exe，双击安装即可

(2)开启rpcapd服务

方式一：Windows图形界面下

同时按上"win+r"两个键，打开运行窗口->输入"services.msc"->在服务列表中找到" Remote Packet Capture Protocol v.0 (experimental) " ->最后开启服务

方式二：命令行开启

cmd进入此目录C:\Program Files (x86)\WinPcap

rpcapd.exe -h 可以看到帮助信息描述默认端口为2002

rpcapd.exe -lnd，然后用netstat -an|findstr /i "2002"验证端口已开启

注意事项：用后及时关闭，防止他人远程连接此主机进行流量监听

如防火墙等安全软件阻止该服务，请做相应处理

二、Linux系统上安装并启动rpcapd服务

(1)编译安装

yum -y install glibc-static

wget http://www.winpcap.org/install/bin/WpcapSrc_4_1_2.zip 或 到该链接下寻找http://www.winpcap.org/archive/

unzip WpcapSrc_4_1_2.zip
cd winpcap/wpcap/libpcap
chmod +x configure runlex.sh
CFLAGS=-static ./configure
make
cd rpcapd
make

(2)运行服务

./rpcapd -n -d
# 备注如果无法正常运行，可能要修改iptables ,具体如下：

<1>如果SSH端口是22（这里不建议用默认端口最好改掉SSH端口）
# iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
# /etc/rc.d/init.d/iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables:[ OK ]

<2>修改iptables开放2002端口
# iptables -A INPUT -p tcp --dport 2002 -j ACCEPT
# iptables -A OUTPUT -p tcp --sport 2002 -j ACCEPT
# /etc/init.d/iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables:[ OK ]

<3> 查看iptables的内容
# vim iptables #或者执行：# iptables -L
<4> 重启iptables

# service iptables restart
iptables: Setting chains to policy ACCEPT: filter [ OK ]
iptables: Flushing firewall rules: [ OK ]
iptables: Unloading modules: [ OK ]
<5>运行./rpcapd -n
# ./rpcapd -n
Press CTRL + C to stop the server...
socket(): Address family supported by protocol (code 98)