wireshark远程抓包

wireshark支持远程抓包，首先在远程机器使用命令行启动rpcapd.exe，然后在本地打开wireshark抓包设置，添加远程机器的网卡即可，方便几台机器切换抓包，详细步骤如下：

1.远程机器安装winpcap，打开cmd窗口，命令行运行winpcap安装目录中的rpcapd.exe，默认安装路径C:\Program Files\WinPcap，参数如下。
-h 帮助菜单
-p port 指定端口号，默认端口号是2002，可以使用tcpview查看
-l ip地址 指定授权IP地址
-n 不需要密码认证
例如：rpcapd.exe -l 192.168.0.98 -n -p 2002
2.本地机器启动wireshark，打开capture options，wireshark 1.8操作如下如下图：依次点击1（manage interfaces）.2（remote interfaces）.3（add），在4（remote interfaces）的窗口中输入ip和端口ok，然后选择需要抓包的网卡。

添加完成的网卡显示十六进制的名称，不容易辨认，我们可以打开capture interfaces窗口或者capture options选择新添加的远程网卡，1.8版本以下的wireshark在capture options窗口选择interface下拉列表中的remote就可以了