利用Wireshark和tcpdump在windows上远程实时分析Linux上的数据包

2016-11-09

首先准备好plink.exe （ http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html (opens new window) ）和 wireshark （ https://www.wireshark.org/#download (opens new window) ）

然后执行命令

D:\putty\plink.exe -ssh -pw mypassword root@192.168.1.1 /usr/sbin/tcpdump -s0 -nnvXpi eth2.2 port 8080 -w - | "C:\Program Files\Wireshark\wireshark.exe" -k -i -

这个时候wireshark会启动，并显示被抓取的数据包

原理：通过plink连接linux服务器，并执行tcmdump命令，将结果输出到标准输出流，然后通过管道将数据重定向给wireshark，wireshark从标准输入流获取数据，并实时显示。

参考：tcpdump的使用详解 http://www.cnblogs.com/ggjucheng/archive/2012/01/14/2322659.html (opens new window)

配张图吧