window下使用wireshark远程抓包

时间 2021-04-24

标签服务器网络 socket ide 工具 this spa 命令行调试 server 栏目 Windows 繁體版

原文原文链接

因为须要调试pc服务器打印胶片和设备上直接打印胶片之间的区别，研发要求我抓包分析2者之间的差异，可是很快面临一个问题，我没有权限动交换机的权限，他们也没有在交换机上配置端口镜像，因而只好去找小HUB，淘汰了块10几年的集线器，这个几乎快被遗忘的网络设备，因为他是共享网络，容易形成网络事故，不少场地上是禁止使用的，可是他是网络抓包的好工具。。。我找遍每个角落，都找不到小hub，因而乎让北京的同事给我快递一个过来，惋惜EMS再次发扬国企的老大做风，都4天了，我等到花儿都谢了，个人快递还没到，没办法，只好另想办法。。。服务器

在QQ群里问的时候，有人建议我远程抓包试试，因而我用百度了下，发现wireshark从1.2开始的版本已经开始支持远程抓包了，那么让咱们来试验下wireshark远程抓包吧。。。

首先要在咱们须要被抓包的remote机器上确保安装了WinPcap，尽可能找最新的版本，安装路径按默认便可。在remote端，进入命令行模式下，切换到winpcap的路径下： C:\Program Files\WinPcap，运行rpcapd -h，能够看到各个参数的用法，下面列出参数的用法：

  
  
           
  
  
   
   
            
   
   C:\Program Files\WinPcap>rpcapd.exe -h 
   
   
            
   
   USAGE: 
   
   
            
   
    rpcapd [-b <address>] [-p <port>] [-6] [-l <host_list>] [-a <host,port>] 
   
   
            
   
           [-n] [-v] [-d] [-s <file>] [-f <file>] 
   
   
            
   
     -b <address>: the address to bind to (either numeric or literal). 
   
   
            
   
         Default: it binds to all local IPv4 addresses 
   
   
            
   
     -p <port>: the port to bind to. Default: it binds to port 2002 
   
   
            
   
     -4: use only IPv4 (default both IPv4 and IPv6 waiting sockets are used) 
   
   
            
   
     -l <host_list>: a file that keeps the list of the hosts which are allowed 
   
   
            
   
         to connect to this server (if more than one, list them one per line). 
   
   
            
   
         We suggest to use literal names (instead of numeric ones) in order to 
   
   
            
   
         avoid problems with different address families 
   
   
            
   
     -n: permit NULL authentication (usually used with '-l') 
   
   
            
   
     -a <host,port>: run in active mode when connecting to 'host' on port 'port' 
   
   
            
   
         In case 'port' is omitted, the default port (2003) is used 
   
   
            
   
     -v: run in active mode only (default: if '-a' is specified, it accepts 
   
   
            
   
         passive connections as well 
   
   
            
   
     -d: run in daemon mode (UNIX only) or as a service (Win32 only) 
   
   
            
   
         Warning (Win32): this switch is provided automatically when the service 
   
   
            
   
         is started from the control panel 
   
   
            
   
     -s <file>: save the current configuration to file 
   
   
            
   
     -f <file>: load the current configuration from file; all the switches 
   
   
            
   
         specified from the command line are ignored 
   
   
            
   
     -h: print this help screen

看了参数的含义，咱们须要3个经常使用的便可：

-l 容许远端能够链接本机，次参数必须

-d 容许rpcapd服务以daemon的方式运行，此参数必须

-n 此参数加上可让远程链接抓包时不须要输入用户名和密码

以上为我抓包时在remote端运行是加的参数， rpcapd -lnd 便可，可是奇怪的是我用netstat 看机器上运行的端口时，没发现2002端口开着，很诡异，可是无论那么多了，remote这里已经搞定了。

接着咱们在本机打开wireshark，在菜单： Capture---Options，打开以后能够看到

咱们点击“Add Remote Interface”，弹出添加远程接口的窗口：网络

咱们在host里面填入remote端的IP,端口时2002，若是不知道能够从rcapd的参数里面看到服务的端口号，若是你在开remote端的服务没有加-n参数的话，这里须要输入用户名和密码，而后点击"OK"就能够了，最后的页面应该是这样的：socket

上面能够看到3块网卡，由于我这里的remote端由2个网卡，本机一块网卡，因此有3快，我吧要抓包的那块网卡勾上，而后点击下面的start按钮，就能够开始抓包了。。。ide

呵呵，抓包配置基本到此为止，最后附上一张抓到包后的截图作为收尾：工具