Rtdump est une version modifiée de tcpdump pour capturer le trafic sur les systèmes et les réseaux distants. Il vous permet d'exécuter un programme de capture de paquets (le serveur) sur un ordinateur cible, qui va renifler le trafic réseau sur ce système, et uplink les paquets capturés vers un autre hôte (le client), où les paquets capturés peuvent être traitées, analysées et archivé. Le système de rpcap se compose donc de deux processus distincts, le serveur (ou agent) qui capture le trafic réseau sur un système distant, et un client, qui reçoit et traite ces paquets. Le code du serveur est un programme exécutable autonome qui utilise la bibliothèque de capture de paquets de libpcap pour capturer le trafic réseau. Le client est en fait une bibliothèque appelée librpcap, qui est lié à un programme utilisateur et utilisé sur le système client d'une manière identique à libpcap.
La bibliothèque cliente de librpcap expose un sous-ensemble de l'API pcap tel que défini dans le pcap (3) page de manuel. L'API est utilisée d'une manière identique à celle de libpcap, de sorte que tous les programmes qui ne sont pas utiliser les fonctions de libpcap pas présents dans rpcap peut relier directement rpcap en place du PPCE. Les fonctions de l'API comme un ensemble de fonctions wrapper PPCE-compatible sur une interface Sun RPC vers le serveur distant, qui invoquent la fonctionnalité de libpcap correspondant sur elle.
A cette époque, rpcap a été construit et testé uniquement sur Linux sur plates-formes Intel. Cependant, il doit se fonder sur une quelconque UNIX comme système qui supporte le multithreading et a les bibliothèques RPC et utilitaires disponibles, de sorte qu'il devrait être possible de construire sur la plupart des systèmes. S'il vous plaît noter toutefois qu'il ya quelques bugs dans le code (tout mon propre!) Qui limitent actuellement à des systèmes little-endian. Je vais corriger cela dès que possible.
L'exécutable rtdump est juste une version légèrement modifiée de tcpdump. La différence est que les liens rtdump contre librpcap plutôt que libpcap, et nécessite donc quelques modifications dans la substance d'initialisation. La principale différence pour les utilisateurs finaux est dans la ligne de commande. Rtdump est invoquée comme suit:
rtdump
L'option à distance de nom d'hôte est bien sûr le nom ou l'adresse IP de l'hôte distant sur lequel vous désirez capturer le trafic.
Par exemple, en supposant que vous voulez capturer le trafic TCP sur votre machine locale (le client) à partir d'une machine distante appelé, dites, fred, sur l'interface eth1 de fred, vous devrait invoquer rtdump ainsi:
rtdump -i eth1 tcp fred
La différence entre une invocation tcpdump normale et cette invocation est l'ajout du nom de l'hôte distant. Les données de capture est exportée vers l'hôte actuel, à savoir le système sur lequel rtdump a été invoquée, par rtdump par défaut utilise les valeurs de port de rpcap par défaut de 21373 tcp et 61373 UDP pour la communication avec le processus du serveur, en dehors du processus de RPC. Si l'une de ces valeurs par défaut doivent être modifiées, le
code d'initialisation dans rtdump.c doit être modifié en conséquence (vérifier la fonction de init_rpcap et les lignes précédentes, il).
Tous les autres paramètres opérationnels rtdump sont identiques à tcpdump (il * est * tcpdump avec quelques modifications mineures, après tout!), Donc s'il vous plaît vérifier l'homme (1) tcpdump pour plus de détails.
Quoi de neuf dans cette version:
Commentaires non trouvées