本地windows遠程抓包linux

在linux上安裝rpcapd

rpcapd 是一個為 Windows 版本的Wireshark協(xié)議分析器提供遠程流量捕獲的守護進程。它隨Windows 的WinPcap 網(wǎng)絡捕獲庫一起提供，但在 Linux 中的 libpcap 中不存在。安裝需要root權限執(zhí)行。

在 Ubuntu Linux 下安裝：

apt-get build-dep libpcap -y
git clone https://github.com/rpcapd-linux/rpcapd-linux.git
cd rpcapd-linux/libpcap/
./configure && make
cd ../
make

glibc-static 中的 libcrypt.a 被破壞，需要刪除rpcapd-linux目錄Makefile中-static再編譯。

yum install -y byacc glibc-static libgcrypt-devel
git clone https://github.com/rpcapd-linux/rpcapd-linux.git
cd rpcapd-linux/libpcap/
 ./configure && make
 cd ../
sed -i 's/-static//' Makefile
 make

wireshark GUI 配置遠程接口

開始抓包即可。

wireshark 命令行配置遠程接口

如果沒有配置wireshark環(huán)境變量，就打開wireshark安裝目錄并執(zhí)行下面命令。

wireshark -k -i rpcap://:/

本地mac遠程抓包linux

本地mac配置sshdump

windows的wireshark默認沒有該選項，需要本地安裝openssh客戶端。

遠程抓包成功

同理mac上也可以使用上面本地windows的rpcap的方式進行抓包。

本地linux遠程抓包linux

本地wireshark設置管道

在本地linux創(chuàng)建管道文件

mkfifo /tmp/sharkfile

遠程linux安裝wireshark

yum install wireshark* -y

ssh user@remote-host "dumpcap -P -w - -f 'not tcp port 22'"> /tmp/sharkfile

抓包成功