阅读： 10

https://wireshark.cloud/

此网站相当于远程解析pcap文件。传个pcap上去，它通过网页展示报文解析结果。怎么说呢，借助现代浏览器和js的NB，把Wireshark的GUI在网页里实现了。

那个界面很逼真、传神，不认真用，真以为是个本地GUI。使用场景可能是，手头只有别人抓的pcap，没有本地Wireshark，或者手头有tcpdump抓了包，但没有GUI工具查看。只是应个急，看一下报文解析，还成。报文解析界面中右键复制什么的，不要想，只会触发浏览器自身的右键菜单，而非Wireshark的右键菜单。

由于只是解析pcap，并不要求本机装有winpcap驱动，不存在云端抓了本机报文的隐私泄露问题。当然，你上传的pcap本身含有敏感数据时，另说。这与将pcap发给任一不可信第三方，风险级别是一样的。

工具栏第二个图标是”Start live remote capture”，点击后弹出对话框，给出客户端(本机)操作指南。

需在本机安装websocat，不同OS有不同的安装方式。

macOS   brew install websocat

FreeBSD pkg install websocat

Others  https://github.com/vi/websocat/releases

我是Ubuntu，去github下载

https://github.com/vi/websocat/releases/download/v4.0.0-alpha3/websocat.x86_64-unknown-linux-musl

这是静态链接的单ELF，绿色版，”chmod +x”即可执行。

前述对话框的第二格给出客户端命令，比如

sudo tcpdump -i <interface> -U -w – \

‘not host relay.wireshark.cloud’ \

| websocat -b wss://relay.wireshark.cloud/<uuid>/send

相当于tcpdump实时抓包生成pcap并上传，不存在想象中的”远程抓包”，只有”本地抓包+远程解析”。可调整tcpdump的Capture Filter。命令中uuid与当前网页相关，刷新网页后会变，需同步调整命令中的uuid。

下面是一次实验记录。

在Windows Edge中访问

https://wireshark.cloud/

点击”Start live remote capture”，查看uuid，点击OK，启动WebSocket Server。之后工具栏第二个图标变成”Stop live remote capture”，图标左下角出现红叉，显式提示WebSocket Server已启动。

在Ubuntu中执行

sudo tcpdump -i ens33 -U -w – ‘icmp’ \

| ./websocat -b wss://relay.wireshark.cloud/6b716b71-1c31-4500-9ede-96d1f8ab8900/send

用ifconfig查看网络接口名，本例是ens33。只抓ICMP报文，方便测试。websocat带相对路径，也可

cp websocat /usr/local/bin/

在另一个bash中执行

ping www.microsoft.com

正常的话，Windows Edge中已实时看到Icmp Echo Request/Reply。

WebSocket Server不是很稳定，不行就刷新网页重新来过。