Rtdump je verze tcpdump upraven tak, aby zachytit provoz na vzdálených systémů a sítí. To vám umožní spustit zachytávání paketů program (serveru) na cílovém počítači, který se bude čichat síťový provoz v tomto systému, a Uplink zajaté pakety do jiného hostitele (klient), kde je možné chycené pakety zpracovávány, analyzovány a archivovat. Rpcap systém se tedy skládá ze dvou samostatných procesů, serveru (nebo jeho zástupce), který zachycuje síťový provoz na vzdáleném systému a klient, který přijímá a zpracovává tyto pakety. Kód server je samostatný spustitelný program, který používá libpcap zachycování paketů knihovna zachytit provoz v síti. Klient je vlastně knihovna s názvem librpcap, který je spojen s uživatelským programem a použity v klientském systému způsobem, který je shodný s libpcap.
Knihovna librpcap Klient odhaluje podmnožinu pcap API, jak je definováno v pcap (3) manuálové. API se používá způsobem identickým s tím libpcap, takže všechny programy, které nepoužívají na libpcap funkce, které nejsou přítomné v rpcap může přímo propojit rpcap místo pcap. Funkce API jako sadu pcap-kompatibilní obálky funkcí přes rozhraní Sun RPC ke vzdálenému serveru, které se dovolávají odpovídající funkce libpcap na něm.
V této době, rpcap byla postavena a testována pouze na Linuxu na platformách Intel. Je však třeba vycházet z jakéhokoliv systému UNIX, jako systému, který podporuje multithreading a má RPC knihovny a nástroje k dispozici, tak, že by mělo být možné ji postavit na většině systémů. Upozorňujeme však, že existuje několik chyb v kódu (všechny mé vlastní!), Který v současné době omezit na little-endian systémy. Budu opravit ASAP.
Rtdump spustitelný soubor je jen mírně upravenou verzi tcpdump. Rozdíl je v tom, že rtdump odkazy proti librpcap spíše než libpcap, a proto vyžaduje určité úpravy v inicializační věci. Hlavní rozdíl pro koncové uživatele je v příkazovém řádku. Rtdump je použil takto:
rtdump
Možnost vzdáleného Název hostitele je samozřejmě adresu jméno nebo IP vzdáleného počítače, na kterém si přejete zachytit provoz.
Například, kdyby chcete zachytit TCP provoz na lokálním počítači (klient) ze vzdáleného počítače s názvem, říkají, Fred, na eth1 rozhraní Fred, měli byste vyvolat rtdump takto:
rtdump -i eth1 tcp fred
Rozdíl mezi normální tcpdump vyvolání a tohoto vyvolání je přidání názvu vzdáleného hostitele. Získání dat vypsána na aktuální hostitele, tedy systému, na kterém byl vyvolán rtdump standardně rtdump používá výchozí rpcap portů hodnoty 21373 TCP a UDP 61373 pro komunikaci s procesu serveru, na rozdíl od procesu RPC. Pokud některý z těchto výchozí je třeba změnit,
inicializace kód v rtdump.c, musí být odpovídajícím způsobem upraven (zkontrolujte funkci init_rpcap a linky předchozí ji).
Všechny ostatní rtdump provozní parametry jsou shodné s tcpdump (to * je * tcpdump s několika drobnými úpravami, po tom všem!), Tak prosím zkontrolujte Man (1) tcpdump pro podrobnosti.
Co je nového v této verzi:
Komentáře nebyl nalezen