一、概述

通常我們使用wireshark進行抓包分析的時候，在遠端設備抓取一部分數據包后，再回傳到本地，然后使用wireshark進行分析。這種操作主要是抓取的數據包不是實時的，不能做實時數據分析，其次每次要穿文件也不太方便。并且針對時效要求高，并且設備處理性能不高的被抓包設備。進行實時分析也會造成線上業務卡頓。

所以在這里介紹下如何使用wireshark進行遠程抓包。

?

二、如何使用

1.軟件安裝

首先我們需要再被控電腦上安裝rpcapd.exe這個軟件，主控電腦上安裝wireshark?

rpcapd 是 WinPcap 工具包中提供的一個遠程抓包服務程序，允許用戶通過網絡從遠程設備捕獲數據包。它默認使用 TCP/2002 端口，支持加密和身份驗證功能。

2.網絡要求

確保服務端和客戶端之間的網絡連通，防火墻放行 TCP/2002 端口

*注意事項：wireshark 的高版本默認帶的是Npcap 工具包，該工具包默認不含rpcapd組件，所以我們安裝wireshark后需要手動卸載Npcap ，手動安裝WinPcap。并重啟電腦

下載地址 https://www.winpcap.org/install/

3.啟用遠程抓包

在winpcap的安裝文件夾內找到rpcapd程序，在cmd中執行以下命令。

rpcapd.exe -n 

?

?

4.wireshark設置

?

?

輸入被控機IP 和端口

?

?

接下來調用這個遠程端口就可以直接對目標機器的網卡進行在線抓包分析

?

?

三、總結

在進行自動化流水線的報文實時分析，高密報文，語音視頻流等實時性較高的 問題排查場景中。往往需要 做到場景復現，抓包分析分開處理。這個時候進行遠程抓包是一個更好的操作手段

并且進行遠程抓包，方便遠端技術人員進行在線分析，只要網絡互通互聯即可進行協助分析。并且支持多人同時實時分析互不干擾。

審核編輯 黃宇