步骤概览:
1.在ESXI上打开SSH访问;
2.使用SecureCRT SSH2登录到ESXI;
3.获取虚拟机网卡编号;
4.pktcap -uw抓包命令配置示例;
5.使用WinSCP下载捕获的.pcap数据包;
6.使用wirkshark打开数据包;
7.pktcap命令详细参数。
操作方法
1.在ESXI上打开SSH访问;
2.使用SecureCRT SSH2登录到ESXI;
密码是Vmware client登录ESXI的用户名和密码。
3.获取虚拟机网卡编号;
step 1:
[root@localhost:~] esxcli network vm list
World ID Name Num Ports Networks
-------- ------------------------------------------- --------- ---------------------------------
15154156 **production**exchange2013.49_win2012 1 VM Network ///记下这个编号
World ID Name Num Ports Networks
-------- ------------------------------------------- --------- ---------------------------------
15154156 **production**exchange2013.49_win2012 1 VM Network ///记下这个编号
step 2:
[root@localhost:~] esxcli network vm port list -w 15154156///step 1查出来的编号
Port ID: 33554483 ///记下这个编号
vSwitch: vSwitch0
Portgroup: VM Network
Team Uplink: vmnic0
Uplink Port ID: 33554434
Port ID: 33554483 ///记下这个编号
vSwitch: vSwitch0
Portgroup: VM Network
Team Uplink: vmnic0
Uplink Port ID: 33554434
记下Port ID,在接下来步骤4中要用到。
4.pktcap -um抓包命令配置;
pktcap-uw --switchport 33554483 -c 2500 -o vnic_capture1.pcap
配置解释:--switchport是抓虚拟机网卡;33554483是某虚拟机虚拟网卡编号;抓2500个包;vnic_capture1.pcap是文件名。
5.使用WinSCP下载捕获的.pcap数据包;
请直接使用WinSCP SFTP协议(端口:22)连接到ESXI,在右边选中.pcap文件,拖到左边即可下载。(无需要额外再开启服务)
6.使用wirkshark打开数据包。
7.pktcap -um详细参数:
请访问:
或使用CLI help: pktcap-uw -h
8.VMware抓包一次只能抓单向的包:
pktcap-uw --switchport 33554483 -c 2500 -o vnic_capture1.pcap
此条命令只能抓从VM发出去的包。
如需抓发往VM的包,需要加--capture PortOutput再抓一次:
pktcap-uw --switchport 33554483 -c 2500 --capture PortOutput -o vnic_capture1.pcap
暂无可一次抓双向包的方法,可开两个SSH2窗口同时分别抓入向和出向的包。抓完之后可以把这2个.pcap文件用wireshark进行合并成一个.pcap文件:wireshark-->file-->merge。
文档说明:
