1.4.1 linux下安装Winpcap
a) 下载Winpcap的源码:https://www.winpcap.org/devel.htm
b) 上传源码包“WpcapSrc_4_1_3.zip”到linux服务器的/root目录:
上传方法见:章节1.2 xftp5工具上传软件到linux
c) 进入"/root"目录,解压wireshark
命令:cd /root
unzip WpcapSrc_4_1_3.zip
d) 进入“/root/winpcap/wpcap/libpcap/”目录,给root用户添加configure执行权限
命令:cd /root/winpcap/wpcap/libpcap/
chmod +x configure
e) 进行编译前检查
命令:./configure --prefix=/usr/local/winpcap --sysconfdir=/etc/winpcap
f) winpcap源码编译
命令:make
g) rpcapd编译及可执行文件生成:
命令:cd /root/winpcap/wpcap/libpcap/rpcapd
make
h) 添加rpcapd到环境变量并使得及时生效
命令:export PATH=$PATH:/root/winpcap/wpcap/libpcap/rpcapd
echo "export PATH=$PATH:/root/winpcap/wpcap/libpcap/rpcapd" >> /etc/profile
source /etc/profile
i) 运行rpcapd抓包工具
命令:rpcapd –n –d
1.5 wireshark工具的配置
1.5.1 wireshark界面的字段调整
说明:有时根据需要,可能要调整wireshark数据包的展示界面的字段
a) 用wireshark打开一个.cap文件,进入数据包的展示界面
b) 操作步骤:标题栏右键菜单/Column Preferences,进入列编辑界面
c) 列编辑界面,操作步骤:
方法一(直接选择常用的列,截图一):添加点击"+"/编辑"标题" /选择“类型”/"OK"按钮
方法二(自定义列,截图二):添加点击"+"/编辑"标题" /“类型”选择“Custom”/输入"字段"值/字段发生选择"0"/"OK"按钮。
截图一:
截图二:
d) 添加常用列(方法见步骤c)
|
标题 |
类型 |
字段 |
字段发生 |
|
Src Port |
Source port |
||
|
Dst Port |
Destination port |
||
|
tcp.Stream |
Custom |
tcp.stream |
0 |
e) 编辑完成后,新字段就在数据包展示界面呈现了
1.5.2 wireshark配置远程winpcap接口
a) 操作步骤:wireshark主界面/捕获/选项/"捕获接口"界面
b) 添加远程接口:"捕获接口"界面/管理接口/远程接口/"+"按钮/输入远程主机/输入端口号2002/选择"无认证"/"OK"按钮/勾选需要监测的网卡/确认
c) 查看添加的远程网卡:wireshark主界面/捕获/选项/"捕获"接口界面