Rtdump е версия на Tcpdump модифициран за улавяне на движението на отдалечени системи и мрежи. Това позволява да се изпълнява програма пакет улавяне (сървър) на целеви компютър, който ще помирисване мрежовия трафик на тази система, и обратна посока заловените пакети към друг хост (клиента), където заловените пакети могат да бъдат обработени, анализирани и архивира. По този начин системата rpcap състои от две отделни процеси, сървърът (или агент), който улавя мрежовия трафик на отдалечена система, както и клиент, който приема и обработва тези пакети. Кодът на сървъра е самостоятелна изпълнима програма, която използва libpcap пакети улавяне библиотеката за улавяне на мрежовия трафик. Клиентът всъщност е библиотека, наречена librpcap, който е свързан с потребителя програма и се използва за клиентската система по начин, идентичен на libpcap.
Библиотека librpcap клиент излага подгрупа на рСАР API, както е определено в рСАР (3) Спиране. The API се използва по начин, идентичен с този на libpcap, така че всички програми, които не се използват функциите, които не присъстват в rpcap libpcap може директно да се свърже към rpcap на мястото на рСАР. Функциите на API като набор от PCAP-съвместима обвиващи функции над интерфейс Sun RPC до отдалечения сървър, които се позовават на съответната функционалност libpcap върху него.
По това време, rpcap е изграден и тестван само на Linux на Intel платформи. Все пак трябва да се изгради на всяка UNIX като система, която поддържа многонишково и има библиотеките RPC и помощни програми на разположение, така че трябва да е възможно да се изгради на повечето системи. Моля, имайте предвид обаче, че има няколко грешки в кода (всички собствения ми!), Че в момента го ограничи до малко-къс системи. Аз ще се определи това ASAP.
Изпълнимия файл на rtdump е само леко променена версия на Tcpdump. Разликата е, че rtdump връзки срещу librpcap отколкото libpcap, и така изисква някои промени в инициализация неща. Основната разлика за крайните потребители е в командния ред. Rtdump е задействана, както следва:
rtdump
Опцията име на хост Дистанционното е, разбира се, името или IP адреса на отдалечения хост, на който желаете да заснемете трафик.
Например, мислейки, която искате да заснемете TCP трафик към локалната машина (клиента) от отдалечена машина наречена, да кажем, Фред, на eth1 интерфейс на Фред, че трябва да се позове rtdump по следния начин:
rtdump -i eth1 TCP Фред
Разликата между нормална Tcpdump призив и този призив е добавянето на името на отдалечения хост. Данните за улавяне се изхвърлят на текущата машина, т.е. системата, на която е била ползвана rtdump, По подразбиране rtdump използва rpcap пристанищни стойностите по подразбиране на 21373 TCP и UDP 61373 за комуникация с процеса на сървъра, с изключение на процеса на RPC. Ако някоя от тези по подразбиране трябва да бъдат променени, за
инициализация код в rtdump.c трябва да бъдат съответно променени (проверете функцията init_rpcap и линиите, които го предхождат).
Всички други rtdump оперативни параметри са идентични с Tcpdump (тя * е * Tcpdump с няколко незначителни модификации, в края на краищата!), Така че, моля, проверете мъж (1) Tcpdump за подробности.
Какво е новото в тази версия:
Коментари не е намерена