Rtdump är en version av tcpdump modifierats för att fånga trafik på fjärr system och nätverk. Det gör att du kan köra en paket capture program (servern) på en måldator som kommer att sniffa nätverkstrafik på det systemet, och upplänk de fångade paketen till en annan värd (klienten), där de fångade paketen kan bearbetas, analyseras och arkiveras. Den rpcap systemet består således av två separata processer, servern (eller agent) som fångar nätverkstrafik på ett fjärrsystem, och en kund, som tar emot och behandlar dessa paket. Servern koden är en fristående körbara program som använder libpcap fånga paket bibliotek för att fånga nätverkstrafiken. Kunden är faktiskt ett bibliotek kallas librpcap, som är kopplad till ett användarprogram och används på klientsystemet på ett sätt som är identiskt med libpcap.
Den librpcap klientbiblioteket exponerar en delmängd av pcap API som definieras i den pcap (3) manualsidan. API används på ett sätt identiskt med det för libpcap, så att alla program som inte använder libpcap funktioner som inte finns i rpcap kan direkt länka till rpcap i stället för pcap. Fungerar API som en uppsättning PCAP-kompatibel wrapper fungerar över en Sun RPC-gränssnitt till fjärrservern, som åberopar motsvarande libpcap funktionalitet på det.
Vid denna tid har rpcap byggts och testats endast på Linux på Intel-plattformar. Det bör dock bygga på någon UNIX liknande system som stödjer multithreading och har biblioteken och verktyg RPC tillgängliga, så att det ska vara möjligt att bygga det på de flesta system. Observera dock att det finns ett par buggar i koden (hela mitt eget!) Som för närvarande begränsar det till föga endian system. Jag kommer att fixa detta ASAP.
Den rtdump körbara är bara en något modifierad version av tcpdump. Skillnaden är att rtdump länkar mot librpcap snarare än libpcap, och så kräver vissa ändringar i initieringen grejer. Den största skillnaden för slutanvändare är i kommandoraden. Rtdump åberopas på följande sätt:
rtdump
Fjärrvärdnamn alternativet är naturligtvis namnet eller IP-adressen för fjärrvärden där du vill att fånga trafik.
Till exempel, om man antar att du vill fånga TCP trafik till din lokala dator (klienten) från en fjärrdator heter, säger, fred, på fred s eth1 gränssnitt, bör du åkalla rtdump sålunda:
rtdump -i eth1 tcp fred
Skillnaden mellan en vanlig tcpdump åkallan och denna åkallan är tillägg av fjärrvärdnamn. Den datafångst dumpas till den aktuella värden, det vill säga det system som rtdump har åberopats, Som standard rtdump använder standard rpcap hamnvärden av 21373 tcp och udp 61373 för kommunikation med servern processen, bortsett från RPC processen. Om någon av dessa standardvärden behöver ändras, den
initieringskod i rtdump.c måste ändras i enlighet därmed (kontrollera init_rpcap funktionen och linjerna som föregår det).
Alla andra rtdump driftsparametrar är identiska med tcpdump (det * är * tcpdump med några smärre ändringar, trots allt!), Så kontrollera människan (1) tcpdump för mer information.
Vad är nytt i den här versionen:
Kommentarer hittades inte