SSH 远程连接 Linux 使用 Wireshark 抓包

本文章内容基于 Ubuntu 7.3 和 Wireshrk 2.6.10

文章简单介绍了 Wireshark 的安装过程，主要记录了使用过程中遇到的大量 bug。

安装

使用 apt 即可进行自动安装

apt-get install wireshark
# 此版本使用 Qt 编写的图形界面，如果需要 gtk 的版本可键入以下命令
apt-get install wireshark-gtk

安装完成后，命令行输入 wireshark 即可，如果使用 SSH 连接到的服务器还需配置 X11 转发。

使用

1. 安装 X server

   首先需要在 Windows 上安装一个 X server 来接受画面，这里推荐安装 VcXsrv, 下载地址: https://sourceforge.net/projects/vcxsrv/

   强烈建议大家不要使用 Xming，因为其很久未更新了且 bug 较多，后面会介绍我遇到的 bug。

2. 配置 X 11 转发（服务器端）

   首先查看服务器 ssh 的配置

   vim /etc/ssh/sshd_config
   

   打开 X11 转发

   

   重启 ssh 服务

   service ssh start
   

3. 配置 X 11 转发（连接端）

   此处使用 Xshell (Free for Home/Scholl)来作为例子，下载地址: https://www.netsarang.com/zh/xshell-download/

   建议不要使用 Putty，因为我也遇到了它的 bug😕 。

   打开 X11 转发

   

4. 运行

   首先启动 VcXsrv，进行简单配置后它会运行在后台，右下角有图标显示其状态。

   使用 Xshell 连接服务器，启动 Wireshark

   wireshark
   

   之后如果顺利的话就会弹出 Wireshark 的窗口 🎉️ 。

   

BUG！！！

1. The X11 connection broke: I/O error (code 1)

启动后提示以下内容

Qt: XKEYBOARD extension not present on the X server.
The X11 connection broke: I/O error (code 1)
XIO:  fatal IO error 0 (Success) on X server "localhost:10.0"

这个问题遇到时我使用的时 Xming，后来判断是他自带的 bug，因此我切换到 VcXsrv 就解决了。

网上还有博主说使用 gtk 版本的能解决问题，亲测也可以。

2. Incorrect MAC received on packet

这个提示主要出现在 Putty 客户端和其衍生品上，调查发现应该是其使用的 SSH 协议有 bug，切换了多个客户端后，发现 Xshell 修复了这个问题。