Rtdump jest wersja tcpdump zmodyfikowana do przechwytywania ruchu na zdalnych systemach i sieciach. To pozwala na uruchomienie programu do przechwytywania pakietów (serwera) na komputerze docelowym, co powąchać ruchu w sieci w tym systemie, a pakiety zrobione Uplink do innego hosta (klienta), gdzie złapanych pakiety mogą być przetwarzane, analizowane i archiwizowane. System składa się zatem z rpcap dwóch oddzielnych procesów serwera (lub pełnomocnik), który przechwytuje ruch sieciowy w systemie zdalnym, a klient, który odbiera i przetwarza te pakiety. Kod serwer jest samodzielny program wykonywalny, który używa biblioteki przechwytywania pakietów libpcap do przechwytywania ruchu sieciowego. Klient jest właściwie nazywany librpcap biblioteki, który jest związany z programem obsługi i stosowane w systemie klienta w sposób identyczny libpcap.
Biblioteki klienta librpcap ujawnia podzbiór API pcap zdefiniowane w pcap (3) manpage. API jest używany w sposób identyczny do tego z libpcap, tak że wszelkie programy, które nie korzystają z funkcji libpcap nie występujących w rpcap mogą bezpośrednio odwołuje się do rpcap w miejsce pcap. Funkcje API jako zestaw kompatybilny Pcap wrappery ponad interfejsu Sun RPC do zdalnego serwera, które powołują odpowiednią funkcjonalność libpcap na nim.
W tym czasie, rpcap został zbudowany i przetestowany tylko na Linux na platformach Intel. Należy jednak budować na każdym systemie UNIX, jak i który obsługuje wielowątkowość RPC ma biblioteki i narzędzia dostępne, więc powinno być możliwe, aby zbudować go na większości systemów. Należy jednak pamiętać, że istnieje kilka błędów w kodzie (wszystkie moje własne!), Które obecnie ograniczają się do systemów little-endian. Będzie to naprawić jak najszybciej.
Rtdump wykonywalny jest tylko nieco zmieniona wersja tcpdump. Różnica polega na tym, że linki rtdump przeciwko librpcap zamiast libpcap, a więc wymaga pewnych modyfikacji w rzeczy inicjalizacji. Główna różnica dla użytkowników końcowych jest w linii poleceń. Rtdump jest wywoływany w następujący sposób:
rtdump
Opcja zdalnego Nazwa hosta jest oczywiście nazwa lub adres IP zdalnego hosta, na którym pragnienie, aby uchwycić ruch.
Na przykład, zakładając, chcesz uchwycić ruch TCP na komputerze lokalnym (klienta) z komputera zdalnego o nazwie, powiedzmy, fred, na interfejsie eth1 Freda, należy powołać rtdump tak:
rtdump -i eth1 tcp fred
Różnica między normalnym wezwaniem tcpdump i tym wezwaniem jest dodanie nazwy zdalnego hosta. Rejestrowanie danych jest zrzucana do obecnego gospodarza, czyli systemu, w którym rtdump został wywołany domyślnie rtdump używa domyślnych wartości portów rpcap z 21373 i 61373 udp tcp do komunikacji z procesu serwera, oprócz procesu RPC. Jeśli którykolwiek z tych domyślnych muszą być zmienione,
Kod inicjalizacji w rtdump.c musi zostać odpowiednio zmodyfikowane (sprawdzić działanie init_rpcap i poprzedzające go wiersze).
Wszystkie inne parametry operacyjne są rtdump identyczne z tcpdump (to * jest * tcpdump z kilkoma niewielkimi modyfikacjami, mimo wszystko!), Więc proszę sprawdzić man (1) tcpdump szczegóły.
Co nowego w tym wydaniu:
Komentarze nie znaleziono