Помимо выполнения захвата на локальных интерфейсах Wireshark способен охватить сеть через так называемый демон захвата или процессы обслуживания для получения захваченных данных.
Только Microsoft Windows
Этот диалог и возможности доступны только в Microsoft Windows. В Linux / Unix вы можете добиться того же эффекта (безопасно) через SSH-туннель.
Перед тем, как Wireshark сможет подключиться к ней, сначала необходимо запустить службу протокола удаленного захвата пакетов. Самый простой способ — установить WinPcap на цель. По завершении установки перейдите на панель управления «Службы», найдите службу «Протокол удаленного захвата пакетов» и запустите ее.
Убедитесь, что у вас есть внешний доступ к порту 2002 на целевой платформе. Это порт, по которому по умолчанию можно получить доступ к службе протокола удаленной передачи пакетов.
Чтобы открыть диалоговое окно «Интерфейсы удаленного захвата», откройте диалоговое окно «Capture» —> «Options» —> «Manage Interfaces» . и выберите « Добавить» (кнопка плюс внизу окна) .
Интерфейсы удаленного захвата
Диалоговое окно «Интерфейсы удаленного захвата»
Вы должны установить следующие параметры в этом диалоговом окне:
Host
Введите IP-адрес или имя хоста целевой платформы, на котором прослушивается служба протокола удаленной передачи пакетов. Выпадающий список содержит узлы, с которыми ранее были связаны контакты. Список можно очистить, выбрав «Очистить список» в раскрывающемся списке.
Port
Задайте номер порта, на котором прослушивается служба протокола удаленной передачи пакетов. Оставьте открытым, чтобы использовать порт по умолчанию (2002).
Null authentication
Выберите это, если вам не нужна аутентификация для запуска удаленного захвата. Это зависит от целевой платформы. Настройка такой целевой платформы делает ее небезопасной.
Password authentication
Это обычный способ подключения к целевой платформе. Установите учетные данные, необходимые для подключения к службе протокола удаленного сбора пакетов.
Во время добавления удаленного интерфейса для захвата трафика может возникнуть ошибка Can`t get list of interface:
Для простого решения данной проблемы, достаточно отключить брандмауэр на удаленной машине, трафик которой пытаемся захватить.
Настройки удаленного захвата
Удаленный захват может быть дополнительно настроен в соответствии с вашей ситуацией. Кнопка « Remote Settings» . Появится диалоговое окно «Диалоговое окно« Настройки удаленного захвата » .
Диалоговое окно «Настройки удаленного захвата»
Вы можете установить следующие параметры в этом диалоговом окне:
Do not capture own RPCAP traffic (Не захватывать собственный трафик RPCAP)
Эта опция устанавливает фильтр захвата, так что трафик, возвращенный из службы протокола удаленной передачи пакетов в Wireshark, также не фиксируется, а также отправляется обратно. Рекурсия в этом насыщает связь с дублированием трафика.
Use UDP for data transfer (Использовать UDP для передачи данных)
Удаленное управление захватом и потоками данных по TCP-соединению. Эта опция позволяет вам выбрать поток UDP для передачи данных.
Sampling option None (Опция выборки — Нет)
Этот параметр указывает службе протокола удаленного захвата пакетов отправлять все захваченные пакеты, прошедшие фильтр захвата. Обычно это не проблема на сеансе удаленного захвата с достаточной пропускной способностью.
Sampling option 1 of x packets (Опция выборки 1 из x пакетов)
Этот параметр ограничивает службу протокола удаленного сбора пакетов для отправки только субдискретизации захваченных данных с точки зрения количества пакетов. Это позволяет осуществлять захват в узкополосном сеансе удаленного захвата интерфейса с более высокой пропускной способностью.
Sampling option 1 every x milliseconds (Опция выборки 1 каждые x миллисекунд)
Этот параметр ограничивает службу протокола удаленного захвата пакетов, чтобы отправлять только выборочную выборку захваченных данных с точки зрения времени. Это позволяет осуществлять захват через сеанс узкополосного захвата интерфейса с более высокой пропускной способностью.
