一、概述

通常我們使用wireshark進(jìn)行抓包分析的時(shí)候，在遠(yuǎn)端設(shè)備抓取一部分?jǐn)?shù)據(jù)包后，再回傳到本地，然后使用wireshark進(jìn)行分析。這種操作主要是抓取的數(shù)據(jù)包不是實(shí)時(shí)的，不能做實(shí)時(shí)數(shù)據(jù)分析，其次每次要穿文件也不太方便。并且針對(duì)時(shí)效要求高，并且設(shè)備處理性能不高的被抓包設(shè)備。進(jìn)行實(shí)時(shí)分析也會(huì)造成線(xiàn)上業(yè)務(wù)卡頓。

所以在這里介紹下如何使用wireshark進(jìn)行遠(yuǎn)程抓包。

?

二、如何使用

1.軟件安裝

首先我們需要再被控電腦上安裝rpcapd.exe這個(gè)軟件，主控電腦上安裝wireshark?

rpcapd 是 WinPcap 工具包中提供的一個(gè)遠(yuǎn)程抓包服務(wù)程序，允許用戶(hù)通過(guò)網(wǎng)絡(luò)從遠(yuǎn)程設(shè)備捕獲數(shù)據(jù)包。它默認(rèn)使用 TCP/2002 端口，支持加密和身份驗(yàn)證功能。

2.網(wǎng)絡(luò)要求

確保服務(wù)端和客戶(hù)端之間的網(wǎng)絡(luò)連通，防火墻放行 TCP/2002 端口

*注意事項(xiàng)：wireshark 的高版本默認(rèn)帶的是Npcap 工具包，該工具包默認(rèn)不含rpcapd組件，所以我們安裝wireshark后需要手動(dòng)卸載Npcap ，手動(dòng)安裝WinPcap。并重啟電腦

下載地址 https://www.winpcap.org/install/

3.啟用遠(yuǎn)程抓包

在winpcap的安裝文件夾內(nèi)找到rpcapd程序，在cmd中執(zhí)行以下命令。

rpcapd.exe -n 

?

?

4.wireshark設(shè)置

?

?

輸入被控機(jī)IP 和端口

?

?

接下來(lái)調(diào)用這個(gè)遠(yuǎn)程端口就可以直接對(duì)目標(biāo)機(jī)器的網(wǎng)卡進(jìn)行在線(xiàn)抓包分析

?

?

三、總結(jié)

在進(jìn)行自動(dòng)化流水線(xiàn)的報(bào)文實(shí)時(shí)分析，高密報(bào)文，語(yǔ)音視頻流等實(shí)時(shí)性較高的 問(wèn)題排查場(chǎng)景中。往往需要 做到場(chǎng)景復(fù)現(xiàn)，抓包分析分開(kāi)處理。這個(gè)時(shí)候進(jìn)行遠(yuǎn)程抓包是一個(gè)更好的操作手段

并且進(jìn)行遠(yuǎn)程抓包，方便遠(yuǎn)端技術(shù)人員進(jìn)行在線(xiàn)分析，只要網(wǎng)絡(luò)互通互聯(lián)即可進(jìn)行協(xié)助分析。并且支持多人同時(shí)實(shí)時(shí)分析互不干擾。

審核編輯 黃宇