Rtdump ist eine Version von tcpdump modifiziert werden, um den Verkehr auf Remote-Systeme und Netzwerke zu erfassen. Es ermöglicht Ihnen, einen Paket-Capture-Programm (Server) auf einem Zielcomputer, die den Netzwerkverkehr auf diesem System wird schnüffeln, und Uplink die erfassten Pakete auf einen anderen Rechner (dem Client), wo die erfassten Pakete verarbeitet werden können, laufen, analysiert und archiviert. Die rpcap System besteht somit aus zwei getrennten Prozessen, der Server (oder Vertreter), die den Netzwerkverkehr auf einem Remote-System erfasst, und einem Client, der empfängt und verarbeitet diese Pakete. Der Server-Code ist eine eigenständige ausführbare Programm, das die libpcap Paketerfassung Bibliothek verwendet, um den Netzwerkverkehr zu erfassen. Der Client ist eigentlich eine Bibliothek namens librpcap, die ein Anwenderprogramm verbunden ist und auf dem Client-System in einer identischen Weise zu Libpcap verwendet.
Die librpcap Client-Bibliothek stellt eine Untermenge der pcap API wie im pcap (3) Handbuchseite definiert. Die API ist in einer Art und Weise identisch zu der von libpcap verwendet, so dass alle Programme, die nicht mit der libpcap-Funktionen nicht in rpcap vorhanden kann eine direkte Verknüpfung zu anstelle von pcap rpcap. Die API-Funktionen als eine Reihe von pcap-kompatiblen Wrapper-Funktionen über einen Sun RPC-Schnittstelle zum Remote-Server, die die entsprechende Funktionalität libpcap auf sie zu berufen.
Zu diesem Zeitpunkt hat rpcap gebaut und nur unter Linux auf Intel-Plattformen getestet. Es sollte jedoch auf jedem UNIX-System, wie Multithreading unterstützt und hat die RPC-Bibliotheken und Werkzeuge zur Verfügung, damit sollte es möglich, sie auf den meisten Systemen zu bauen zu bauen. Bitte beachten Sie jedoch, dass es ein paar Fehler im Code (Alle meine eigenen!), Die zur Zeit beschränken sie auf Little-Endian-Systemen. Ich werde dies so schnell wie möglich zu beheben.
Die ausführbare rtdump ist nur eine leicht modifizierte Version des tcpdump. Der Unterschied ist, dass rtdump Links gegen librpcap anstatt libpcap, und so erfordert einige Änderungen in der Initialisierung Zeug. Der Hauptunterschied für den Endanwender ist in der Befehlszeile. Rtdump wird wie folgt aufgerufen:
rtdump
Der Hostname-Option Remote ist natürlich der Name oder die IP-Adresse des Remote-Host, auf dem Sie sich wünschen, um Besucher zu erfassen.
Zum Beispiel, angenommen, Sie TCP-Verkehr auf Ihrem lokalen Rechner (dem Client) von einem entfernten Rechner mit dem Namen aufnehmen möchten, sagen, fred, auf Freds eth1-Schnittstelle, sollten Sie damit aufrufen rtdump:
rtdump -i eth1 tcp fred
Der Unterschied zwischen einem normalen tcpdump Anrufung und dieser Aufruf ist der Zusatz von dem Remote-Host-Namen. Der Capture-Daten werden an den aktuellen Host geworfen, dh dem System, auf dem rtdump aufgerufen wurde, wird standardmäßig rtdump verwendet die Standard rpcap Portwerte von 21373 TCP und 61373 UDP für die Kommunikation mit dem Server-Prozess, abgesehen von der RPC-Prozess. Wenn eine dieser Standardeinstellungen geändert werden müssen, die
Initialisierungscode in rtdump.c muss entsprechend geändert werden (überprüfen Sie die init_rpcap Funktion und die Linien vorangeht).
Alle anderen rtdump Betriebsparameter sind identisch mit tcpdump (es * ist * tcpdump mit ein paar kleinen Änderungen, nachdem alle!), So überprüfen Sie bitte Mann (1) tcpdump für Details.
Was ist neu in dieser Version:
Kommentare nicht gefunden