前段時間需要對路由器上的網絡數據進行抓包，一番摸索之后發現了可以通過wireshark來對路由器進行抓包，當然前提路由器系統是Openwrt，這個方法同時也適合是Linux系統的主機或服務器，覺得挺有用的，于是記錄下來，具體的方法如下文；

這里我們以運行openwrt系統的路由器為實驗平臺，我們通過搭建環境之后然后抓取路由器上的網絡數據包為實驗目的；

1、抓包環境搭建

抓包環境分為兩部分:
第一部分: 是目標平臺環境搭建，也就是這里的openwrt系統的路由器;
第二部分: 是window平臺環境搭建;

這兩部分的邏輯是通過在目標平臺上運行tcpdump抓包命令，然后利用plink.exe工具通過實時通道傳輸到windows平臺上再用wireshark工具進行展示分析；

1.1、目標平臺openwrt路由器環境搭建

在openwrt系統下我們主要是要安裝tcpdump工具；

1. ssh登錄到openwrt系統；
2. 檢察是否有tcpdump工具，如果沒有則自行安裝；簡單兩步，環境搭建完成，接下來就是windows平臺環境搭建；

1.2、windows系統環境搭建

在windows系統里，我們主要要用到plink.exe和wireshark兩個工具，請自行安裝這兩個工具，其中plink通過安裝putty獲得，在安裝目錄下；

1. plink.exe: 負責把tcpdump抓到的數據通過ssh傳輸到本地；
2. wireshark: 負責把plink傳遞過來的數據進行分析展示，請自行安裝此工具;

2、啟動抓包方法

1. 在CMD命令行下執行以下命令即可進行遠程

plink.exe-batch-ssh-pw123456root@192.168.8.1"tcpdump-nibr-lan-s0-w-notport22"|"C:\ProgramFiles\Wireshark\Wireshark.exe"-k-i-

1. 運行效果【路由器的網絡數據實時顯示在wireshark上】
2. 抓包命令解釋
   1. 執行 plink.exe 程序，通過 SSH 協議進行遠程登錄到 IP 地址為 192.168.8.1 的 Linux 服務器。
   2. 在服務器上使用 tcpdump 命令監聽名為 br-lan 的網絡接口上除 SSH（端口號為 22）外的所有數據包。由于 -s 0 選項指定了數據包的大小為 0，因此將抓取到的數據包寫入標準輸出，而不是顯示在終端中。
   3. 使用管道符 | 將服務器上的標準輸出（數據包）傳輸至 Windows 系統。
   4. 在 Windows 系統上執行 C:\Program Files\Wireshark\Wireshark.exe 程序，將傳輸過來的數據包作為輸入。其中 -k 選項指定 Wireshark 自動選擇第一個接口（這里是命令傳輸過來的數據流），-i - 選項指定 Wireshark從標準輸入中讀取輸入數據。

碰到的問題

命令行第一次執行提示錯誤：

Theserver'shostkeyisnotcachedintheregistry.
Youhavenoguaranteethattheserveristhecomputeryouthinkitis.
Theserver'sssh-ed25519keyfingerprintis:ssh-ed25519255801143c4fc695a5e:dbConnectionabandoned.
1559.770CaptureWarnCannotstoreinterfaceC:\ProgramFiles\Wireshark\extcap\nrf_sniffer_ble.bat,alreadyloadedaspersonalplugin
1504.049MainWarnQObject::~QObject:Timerscannotbestoppedfromanotherthread

解決方法:
第一次接入服務器時，由于不信任，需要去掉-batch 參數后命令會進入交互模式，在提示的地方輸入密碼，之后就不用重復輸入了，可以再加上-batch參數；

最后

至此，我們已經成功抓取通過路由器上所有的網絡數據包，同時提醒下這個方法也是同樣適合抓取Linux主機上的網絡數據哦。