背景
libpcap 是一个基础且关键的网络数据包捕获库,为 Wireshark、tcpdump 等流行工具提供核心功能支持。其中,rpcapd(Remote Packet Capture Daemon)组件允许在远程系统上进行数据包捕获,这一功能让我们能够从一个中心位置监控多个远程网络接入点,而无需在每个监控点都部署完整的wireshark 或者 tcpdump 等工具。
本文将介绍如何从源码编译安装支持 rpcapd 功能的 libpcap,帮助读者使用 Windows 版本的wireshark 捕获远程设备上的数据包。
笔者亲测,该功能不可以在 macos 版本的 wireshark 上使用,linux 笔者没有尝试
下载源码和安装
- 首先确保要监控的远程设备中存在 DPDK(因为libpcap的支持问题,DPDK版本 要小于 20.11),如果没有,则按照下面的步骤进行安装 DPDK
git clone https://github.com/DPDK/dpdk.git
cd dpdk
git checkout v20.11
meson build
ninja -C build
ninja -C build install
pkg-config --modversion libdpdk # 查看版本
- 下载和编译 libpcap
sudo apt install flex bisonwget https://www.tcpdump.org/release/libpcap-1.10.5.tar.xz
tar -xvf libpcap-1.10.5.tar.xz && cd libpcap-1.10.5./autogen.sh
sudo ./configure --enable-remote && sudo make
sudo make install启动远程抓包进程
sudo rpcapd -4 -n -p 8888 # -4 代表 ipv4,-n 代表无需认证 -p 代表端口
设置本地主机的 wireshark
- 设置找接口设置
- 设置信息
