# 利用Wireshark和tcpdump在windows上远程实时分析Linux上的数据包

2016-11-09

首先准备好plink.exe ( http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html (opens new window) )和 wireshark ( https://www.wireshark.org/#download (opens new window)

然后执行命令

D:\putty\plink.exe -ssh -pw mypassword root@192.168.1.1 /usr/sbin/tcpdump -s0 -nnvXpi eth2.2 port 8080 -w - | "C:\Program Files\Wireshark\wireshark.exe" -k -i -
1

这个时候wireshark会启动,并显示被抓取的数据包

原理:通过plink连接linux服务器,并执行tcmdump命令,将结果输出到标准输出流,然后通过管道将数据重定向给wireshark,wireshark从标准输入流获取数据,并实时显示。

参考:tcpdump的使用详解 http://www.cnblogs.com/ggjucheng/archive/2012/01/14/2322659.html (opens new window)

配张图吧

img