源码安装Rpcapd,用于 wireshark 远程抓包

背景

libpcap 是一个基础且关键的网络数据包捕获库,为 Wireshark、tcpdump 等流行工具提供核心功能支持。其中,rpcapd(Remote Packet Capture Daemon)组件允许在远程系统上进行数据包捕获,这一功能让我们能够从一个中心位置监控多个远程网络接入点,而无需在每个监控点都部署完整的wireshark 或者 tcpdump 等工具。

本文将介绍如何从源码编译安装支持 rpcapd 功能的 libpcap,帮助读者使用 Windows 版本的wireshark 捕获远程设备上的数据包。

笔者亲测,该功能不可以在 macos 版本的 wireshark 上使用,linux 笔者没有尝试

下载源码和安装

  1. 首先确保要监控的远程设备中存在 DPDK(因为libpcap的支持问题,DPDK版本 要小于 20.11),如果没有,则按照下面的步骤进行安装 DPDK
git clone https://github.com/DPDK/dpdk.git
cd dpdk
git checkout v20.11
meson build
ninja -C build
ninja -C build install
pkg-config --modversion libdpdk #  查看版本
  1. 下载和编译 libpcap
sudo apt install flex bison

wget https://www.tcpdump.org/release/libpcap-1.10.5.tar.xz
tar -xvf libpcap-1.10.5.tar.xz && cd libpcap-1.10.5

./autogen.sh
sudo ./configure --enable-remote && sudo make
sudo make install

启动远程抓包进程

sudo rpcapd -4 -n -p 8888 # -4 代表 ipv4,-n 代表无需认证 -p 代表端口

设置本地主机的 wireshark

  1. 设置找接口设置
    image=300
  2. 设置信息
    image
posted @ 2025-03-10 15:19  FireMoth42  阅读(156)  评论(0)    收藏  举报