基于wireshark的协议分析wireshark远程抓包.doc

基于wireshark的协议分析wireshark远程抓包.doc-03-1015::http://wiki./CaptureSetuphttD://wiki./CaDtureSetuD/Pipeshttp://blog./articles/2007/01/24/how-to-monitor・packets-from・a・remote・interface/使用Wireshark时,我们一般加载己经保存的数据文件或者实时抓取网R上的数据包,进行数据分析。有时为了监控远程机器网络流量,我们需要远程抓包,并对抓取的包进行实时分析。这时候,我们需要在远程捕获网络流量,并在本地启动wireshark进行数据分析。为实现这个H的,这时候我们就而临一下几个问题::远程主机OSMwindows还是linux2•本地主机和远程主机通过什么连接:cat,:是传到namedpipe(命名管逾还是stdout根据wiresharkwiki文档,我们知道目前有这三种解决方案:/Pipes-usingaUNIXpipeanduseadifferenttooltocapturefrom下文主要讨论这种方式/WinPcaoRemote・using[WinPcapJ'sremotecapturingfeature(rpcapd)・currentlynotsupported在windows卜•安装winpcap后,winpcap安装目录下就有rpcapd这个命令行工具,但wiresharkH前不支持读取rpcapd的输出,可以用五他工具读取rpcapd的输出。这种方式只限于windows操作系统。RMON・useSNMP'sRMONtocapture-currentlynotsupported(;RemotePacketCaptureUsingRMON”explainswhyitdoesrftworkwell)这种方式不清楚怎么用测试一:namedpipeonlocalmachine(本地namedpipe测试)利用管道,将libpcap数据文件作为输入,输出金ijtshark,开始分析localmachine:.******@gts〜$mkfifo/tmp/******@gts~$./tshark-i/tmp/pipe&******@gts~Scat/home/-data/>/tmp/pipe&测试二SSH+pipe利用ssh登录远程主机,发送抓包命令,并将捕获的数据包发送到木地的namedpipe,本地tshark监听该namedpipe,有数据即开始分析。remotemachine::,执行:******@gts〜$mkfifo/tmp/******@gts~$******@"tcpdump-w--iethO">/tmp/pipe开启另一个终端,执行:******@gts~$wireshark・k-i/tmp/pipe在httD://wiki./CaDtureSetuD/Pipes】11,