https://wireshark.cloud/
此网站相当于远程解析pcap文件。传个pcap上去,它通过网页展示报文解析结果。怎么说呢,借助现代浏览器和js的NB,把Wireshark的GUI在网页里实现了。
那个界面很逼真、传神,不认真用,真以为是个本地GUI。使用场景可能是,手头只有别人抓的pcap,没有本地Wireshark,或者手头有tcpdump抓了包,但没有GUI工具查看。只是应个急,看一下报文解析,还成。报文解析界面中右键复制什么的,不要想,只会触发浏览器自身的右键菜单,而非Wireshark的右键菜单。
由于只是解析pcap,并不要求本机装有winpcap驱动,不存在云端抓了本机报文的隐私泄露问题。当然,你上传的pcap本身含有敏感数据时,另说。这与将pcap发给任一不可信第三方,风险级别是一样的。
工具栏第二个图标是”Start live remote capture”,点击后弹出对话框,给出客户端(本机)操作指南。
需在本机安装websocat,不同OS有不同的安装方式。
macOS brew install websocat
FreeBSD pkg install websocat
Others https://github.com/vi/websocat/releases
我是Ubuntu,去github下载
https://github.com/vi/websocat/releases/download/v4.0.0-alpha3/websocat.x86_64-unknown-linux-musl
这是静态链接的单ELF,绿色版,”chmod +x”即可执行。
前述对话框的第二格给出客户端命令,比如
sudo tcpdump -i <interface> -U -w – \
‘not host relay.wireshark.cloud’ \
| websocat -b wss://relay.wireshark.cloud/<uuid>/send
相当于tcpdump实时抓包生成pcap并上传,不存在想象中的”远程抓包”,只有”本地抓包+远程解析”。可调整tcpdump的Capture Filter。命令中uuid与当前网页相关,刷新网页后会变,需同步调整命令中的uuid。
下面是一次实验记录。
在Windows Edge中访问
https://wireshark.cloud/
点击”Start live remote capture”,查看uuid,点击OK,启动WebSocket Server。之后工具栏第二个图标变成”Stop live remote capture”,图标左下角出现红叉,显式提示WebSocket Server已启动。
在Ubuntu中执行
sudo tcpdump -i ens33 -U -w – ‘icmp’ \
| ./websocat -b wss://relay.wireshark.cloud/6b716b71-1c31-4500-9ede-96d1f8ab8900/send
用ifconfig查看网络接口名,本例是ens33。只抓ICMP报文,方便测试。websocat带相对路径,也可
cp websocat /usr/local/bin/
在另一个bash中执行
ping www.microsoft.com
正常的话,Windows Edge中已实时看到Icmp Echo Request/Reply。
WebSocket Server不是很稳定,不行就刷新网页重新来过。