WireShark即能抓本地流量包，也可以抓取远程主机流量包[支持remote packet capture protocal(rpacapd)]

此篇讲解分别在基于Linux和Windows系统的主机上安装支持远程抓包的rpcapd服务，然后就可在本地电脑通过WireShark捕获远程主机流量了

一、Windows 上安装并启动rpcapd服务

(1)软件下载：https://www.winpcap.org/install/bin/WinPcap_4_1_3.exe，双击安装即可

(2)开启rpcapd服务

方式一：Windows图形界面下

同时按上"win+r"两个键，打开运行窗口->输入"services.msc"->在服务列表中找到” Remote Packet Capture Protocol v.0 (experimental) “ ->最后开启服务

方式二：命令行开启

cmd进入此目录C:\Program Files (x86)\WinPcap

rpcapd.exe -h 可以看到帮助信息描述默认端口为2002

rpcapd.exe -lnd，然后用netstat -an|findstr /i "2002"验证端口已开启

注意事项：用后及时关闭，防止他人远程连接此主机进行流量监听

如防火墙等安全软件阻止该服务，请做相应处理

1  编译安装

yum install glibc-static
wget http://www.winpcap.org/install/bin/WpcapSrc_4_1_2.zip    # http://www.winpcap.org/archive/  我们也可以在该连接下寻找合适的安装包
unzip WpcapSrc_4_1_2.zip
cd winpcap/wpcap/libpcap
chmod +x configure runlex.sh
CFLAGS=-static ./configure
make
cd rpcapd
make

2 运行服务

./rpcapd -n -d

# 备注如果无法正常运行，可能要修改iptables ,具体如下：

1. 如果SSH端口是22（这里不建议用默认端口最好改掉SSH端口）
# iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
# /etc/rc.d/init.d/iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables:[  OK  ]

2. 修改iptables开放2002端口 
# iptables -A INPUT -p tcp --dport 2002 -j ACCEPT
# iptables -A OUTPUT -p tcp --sport 2002 -j ACCEPT
# /etc/init.d/iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables:[  OK  ]

3. 查看iptables的内容
# vim iptables      #或者执行：# iptables -L

4. 重启iptables
# service iptables restart
iptables: Setting chains to policy ACCEPT: filter          [  OK  ]
iptables: Flushing firewall rules:                         [  OK  ]
iptables: Unloading modules:                               [  OK  ]

5. 运行./rpcapd -n
# ./rpcapd -n
Press CTRL + C to stop the server...
socket(): Address family supported by protocol (code 98)

0x03 基于windows本地主机捕获远程主机的流量

1 我们选择 wireshark （wireshark legacy 为英文版)

2 主界面 --->> 捕获--->> 选项（Ctrl +k）--->> 捕获接口--->> 管理接口（右下角）--->>远程接口--->> 选择 左下角的 ” + “  进行添加远程接口。