Wireshark入门与进阶系列三之远程抓包

时间:2024-04-02 18:28:43

原文链接https://blog.csdn.net/qq_29277155/article/details/52059974

0x00 前言

    我们都知道,wireshark可以实现本地抓包,同时Wireshark也支持remote packet capture protocol(rpcapd)协议远程抓包,只要在远程主机上安装相应的rpcapd服务例程就可以实现在本地电脑执行wireshark 捕获远程电脑的流量了。

0x01 windows 上安装或启动rpcapd服务

1 WinPcap 官网:http://www.winpcap.org/

在官网下载WinPcap 后,点击安装包后,即可按照正常流程进行进行安装

2 开启rpcapd服务

开启方式1:图形界面开启

① 首先 同时按键 “ win + r   ”  打开运行窗口,

②然后输入 “  services.msc  " 打开” 服务“ 窗口,

③找到 ” Remote Packet Capture Protocol v.0 (experimental) “ ,最后开启该服务。

开启方式2 :命令行开启

①C:\Program Files (x86)\WinPcap

$ rpcapd.exe -h

# 我们可以看到rpcapd 的默认端口为2002

验证方式: netstat -an | findstr /i " 2002"                                   

②C:\Program Files (x86)\WinPcap        
$ rpcapd.exe -lnd                     
Press CTRL + C to stop the server...  

#如果我们不再需要该功能时,为了安全起见,应该将该服务关闭。以免其他人非法链接到远程主机进行流量监听。当然我们可以根据需求选择可以进行远程连接的主机的IIP。如果windows防火墙或者其他软件禁止该服务,请将该服务添加到白名单。

0x02 linux 上安装或启动rpcapd服务

1  编译安装

yum install glibc-static
wget http://www.winpcap.org/install/bin/WpcapSrc_4_1_2.zip    # http://www.winpcap.org/archive/  我们也可以在该连接下寻找合适的安装包
unzip WpcapSrc_4_1_2.zip
cd winpcap/wpcap/libpcap
chmod +x configure runlex.sh
CFLAGS=-static ./configure
make
cd rpcapd
make


2 运行服务

./rpcapd -n -d


# 备注如果无法正常运行,可能要修改iptables ,具体如下:

1. 如果SSH端口是22(这里不建议用默认端口最好改掉SSH端口)
# iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
# /etc/rc.d/init.d/iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables:[  OK  ]


2. 修改iptables开放2002端口 
# iptables -A INPUT -p tcp --dport 2002 -j ACCEPT
# iptables -A OUTPUT -p tcp --sport 2002 -j ACCEPT
# /etc/init.d/iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables:[  OK  ]


3. 查看iptables的内容
# vim iptables      #或者执行:# iptables -L

4. 重启iptables
# service iptables restart
iptables: Setting chains to policy ACCEPT: filter          [  OK  ]
iptables: Flushing firewall rules:                         [  OK  ]
iptables: Unloading modules:                               [  OK  ]

5. 运行./rpcapd -n
# ./rpcapd -n
Press CTRL + C to stop the server...
socket(): Address family supported by protocol (code 98)

0x03 基于windows本地主机捕获远程主机的流量

1 我们选择 wireshark (wireshark legacy 为英文版)

2 主界面 --->> 捕获--->> 选项(Ctrl +k)--->> 捕获接口--->> 管理接口(右下角)--->>远程接口--->> 选择 左下角的 ” + “  进行添加远程接口。

Wireshark入门与进阶系列三之远程抓包

3 回到主界面,选择远程主机的接口,进行捕获流量。

Wireshark入门与进阶系列三之远程抓包#小提示,以上是**版的AWVS打开时的抓包截图,从中可以看到每次打开该程序都会自动连接 www.acunetix.com 【 54.208.84.166 】和 erp.acunetix.com 【 217.115.140.112 】,同时也会发送一些application data 到这两个网站中去。从而可以推理出,我们使用该**软件时,该**软件会自动把我们曾经扫描过的网站和这些扫描日志等信息上传到WVS的服务器器中,该服务器一般位于德国和美国,为啥要连上去昵,明显是后门和发送数据。

Wireshark入门与进阶系列三之远程抓包

欢迎大家分享更好的思路,热切期待^^_^^ !

相关文章