Rtdump является версия ТСРйитр изменены, чтобы захватить трафик на удаленных систем и сетей. Это позволяет запускать программу захвата пакетов (сервер) на целевом компьютере, который будет нюхать сетевого трафика в этой системе, и восходящей захваченные пакеты на другой хост (клиент), где перехваченные пакеты могут быть обработаны, проанализированы и архивируются. Таким образом, система rpcap состоит из двух отдельных процессов, сервер (или агент), который захватывает сетевой трафик на удаленном компьютере, а клиент, который получает и обрабатывает эти пакеты. Серверный код является исполняемый программа, которая использует библиотеку захвата Libpcap пакет для записи сетевого трафика. Клиент на самом деле библиотека называется librpcap, который связан с пользовательской программой и используется в системе клиента таким образом, идентичной Libpcap.
Клиентская библиотека librpcap выставляет подмножество PCAP API, как это определено в PCAP (3) страницы руководства. В API используется в порядке, идентичным тому, который из Libpcap, так что любые программы, которые не используют Libpcap функции, не присутствующие в rpcap может подключаться непосредственно к rpcap вместо PCAP. Функции API в виде набора PCAP-совместимый оболочек функций через интерфейс Вс RPC на удаленном сервере, которые ссылаются на соответствующий функциональность Libpcap на нем.
В это время, rpcap был построен и протестирован только на Linux на платформах Intel. Тем не менее, он должен опираться на любой UNIX как системы, поддерживающей многопоточность и имеет RPC библиотеки и утилиты доступны, так что она должна быть возможность построить его на большинстве систем. Пожалуйста, обратите внимание, однако, что есть пара багов в коде (все мои собственные!), Что в настоящее время ограничить его мало обратным порядком байтов систем. Я исправить это как можно скорее.
Rtdump исполняемый просто слегка модифицированный вариант ТСРйитр. Разница в том, что rtdump ссылки против librpcap, а не Libpcap, и так требует некоторых изменений в инициализации вещи. Основное отличие для конечных пользователей в командной строке. Rtdump вызывается следующим образом:
rtdump
Опция имя удаленного хоста, конечно, имя или IP-адрес удаленного хоста, на котором вы желаете, чтобы захватить трафик.
Например, предположим, вы хотите, чтобы захватить TCP трафика на локальном компьютере (клиент) с удаленной машины под названием, скажем, Фред, на интерфейсе eth1 Фред, вы должны ссылаться rtdump таким образом:
rtdump -i eth1 TCP Фред
Разница между нормальным Tcpdump вызова и данного вызова является добавление удаленного имени хоста. Данные захвата сбрасывается в текущем узле, то есть системы, в которой был вызван rtdump, по умолчанию используются значения rtdump rpcap порт по умолчанию 21373 TCP и UDP 61373 для связи с процессом сервера, кроме процесса RPC. Если любой из этих дефолтов должны быть изменены,
код инициализации в rtdump.c должен быть соответствующим образом изменен (проверить функцию init_rpcap и строки, предшествующие его).
Все остальные параметры rtdump оперативные идентичны ТСРйитр (это * * является ТСРйитр с небольшими изменениями, в конце концов!), Поэтому, пожалуйста, проверить человек (1) ТСРйитр для деталей.
Что нового в этой версии:
Комментарии не найдены