一、概述

通常我們使用wireshark進(jìn)行抓包分析的時候，在遠(yuǎn)端設(shè)備抓取一部分?jǐn)?shù)據(jù)包后，再回傳到本地，然后使用wireshark進(jìn)行分析。這種操作主要是抓取的數(shù)據(jù)包不是實(shí)時的，不能做實(shí)時數(shù)據(jù)分析，其次每次要穿文件也不太方便。并且針對時效要求高，并且設(shè)備處理性能不高的被抓包設(shè)備。進(jìn)行實(shí)時分析也會造成線上業(yè)務(wù)卡頓。

所以在這里介紹下如何使用wireshark進(jìn)行遠(yuǎn)程抓包。

?

二、如何使用

1.軟件安裝

首先我們需要再被控電腦上安裝rpcapd.exe這個軟件，主控電腦上安裝wireshark?

rpcapd 是 WinPcap 工具包中提供的一個遠(yuǎn)程抓包服務(wù)程序，允許用戶通過網(wǎng)絡(luò)從遠(yuǎn)程設(shè)備捕獲數(shù)據(jù)包。它默認(rèn)使用 TCP/2002 端口，支持加密和身份驗(yàn)證功能。

2.網(wǎng)絡(luò)要求

確保服務(wù)端和客戶端之間的網(wǎng)絡(luò)連通，防火墻放行 TCP/2002 端口

*注意事項(xiàng)：wireshark 的高版本默認(rèn)帶的是Npcap 工具包，該工具包默認(rèn)不含rpcapd組件，所以我們安裝wireshark后需要手動卸載Npcap ，手動安裝WinPcap。并重啟電腦

下載地址 https://www.winpcap.org/install/

3.啟用遠(yuǎn)程抓包

在winpcap的安裝文件夾內(nèi)找到rpcapd程序，在cmd中執(zhí)行以下命令。

rpcapd.exe -n 

?

?

4.wireshark設(shè)置

?

?

輸入被控機(jī)IP 和端口

?

?

接下來調(diào)用這個遠(yuǎn)程端口就可以直接對目標(biāo)機(jī)器的網(wǎng)卡進(jìn)行在線抓包分析

?

?

三、總結(jié)

在進(jìn)行自動化流水線的報文實(shí)時分析，高密報文，語音視頻流等實(shí)時性較高的 問題排查場景中。往往需要 做到場景復(fù)現(xiàn)，抓包分析分開處理。這個時候進(jìn)行遠(yuǎn)程抓包是一個更好的操作手段

并且進(jìn)行遠(yuǎn)程抓包，方便遠(yuǎn)端技術(shù)人員進(jìn)行在線分析，只要網(wǎng)絡(luò)互通互聯(lián)即可進(jìn)行協(xié)助分析。并且支持多人同時實(shí)時分析互不干擾。

審核編輯 黃宇