Wirewhark利用rpcapd实现抓取Linux的网络包

linux wireshark network
wireshark
Publish Date:   2024-08-06
Update Date:   2024-09-04
Word Count:   301
Read Times:   1 Min
Read Count:  

概述

Wireshark是一个开源的网络数据包分析器,可以实时的从网络接口捕获数据包并分析。他支持多种协议类型,是最为流行的数据包分析器。

Wireshark支持Mac和Windows版本,但是对于Linux服务器上的包,以往只能通过服务器上tcpdump后,去离线分析数据包,较为不便。

这次要推荐的一个工具叫做rpcapd, 他现是libpcap的一部分,可以用于实时远程抓包。

安装

rpcapd是libpcap的一部分,暂时没找到现成的二进制包, 需要进行编译安装。

访问官网,https://www.tcpdump.org/,

wget https://www.tcpdump.org/release/libpcap-1.10.4.tar.gz
tar -xzvf libpcap-1.10.4.tar.gz
cd libpcap-1.10.4/
./configure --enable-remote && make

运行后,rpcapd会生成在rpcapd/rpcapd目录

使用

rpcapd的启动

启动rpcapd,允许空授权,端口8788

./rpcapd -4 -n -p 8788

详细帮助见 rpcapd -h

Wireshark配置

点击选项
alt text
点击Manage Interfaces...
alt text
点击远程接口页签,点击左下角+添加一个接口,即可完成添加,主页就会显示这个网络接口出来
alt text

进入捕获,可以像本地抓包一样抓取远端包了。

Author: deepwzh
Link: https://blogs.92ac.cn/2024/08/06/rpcapd/
Reprint policy: All articles in this blog are used except for special statements CC BY 4.0 reprint policy. If reproduced, please indicate source deepwzh !
linux wireshark network
  TOC