Rtdump er en version af tcpdump modificeret til at fange trafik på eksterne systemer og netværk. Det giver dig mulighed for at køre en pakke capture program (server) på et mål computer, som vil sniffe netværkstrafik på dette system, og uplink de erobrede pakker til en anden vært (klienten), hvor de erobrede pakkerne kan behandles, analyseres og arkiveres. Det rpcap Systemet består således af to separate processer, serveren (eller agent), som opfanger netværkstrafik på et eksternt system, og en kunde, der modtager og behandler disse pakker. Serveren kode er en standalone eksekverbare program som bruger libpcap pakke fange bibliotek til at fange netværkstrafik. Kunden er faktisk et bibliotek kaldet librpcap, som er knyttet til et brugerprogram og anvendes på klientsystemet på en måde identisk med libpcap.
Den librpcap klient biblioteket udsætter en delmængde af pcap API som defineret i pcap (3) manpage. API bruges på en måde identisk med libpcap, således at eventuelle programmer, der ikke bruger de libpcap funktioner ikke er til stede i rpcap direkte kan linke til rpcap i stedet for pcap. API fungerer som et sæt pcap-kompatible wrapper fungerer over en Sun RPC-grænseflade til ekstern server, der påberåber sig den tilsvarende libpcap funktionalitet på det.
På dette tidspunkt, er rpcap blevet bygget og testet kun på Linux på Intel-platforme. Det bør dog bygge på en UNIX lignende system, der understøtter multithreading og har RPC biblioteker og hjælpeprogrammer til rådighed, så det skulle være muligt at bygge det på de fleste systemer. Bemærk dog, at der er et par bugs i koden (alle min egen!), Der i øjeblikket begrænser det til lidt-endian-systemer. Jeg vil løse dette ASAP.
Den rtdump eksekverbare er blot en let ændret udgave af tcpdump. Forskellen er, at rtdump links mod librpcap stedet libpcap, og kræver nogle ændringer i initialiseringen ting. Den væsentligste forskel for slutbrugere er i kommandolinjen. Rtdump påberåbes som følger:
rtdump
Fjernbetjeningen værtsnavn mulighed er naturligvis navnet eller IP-adressen på den eksterne vært, som du ønsker at fange trafik.
For eksempel, hvis det antages, du ønsker at fange tcp trafik til din lokale maskine (klienten) fra en ekstern maskine kaldes, siger, fred, om fred er eth1 interface, skal du påberåbe rtdump således:
rtdump -i eth1 tcp fred
Forskellen mellem en normal tcpdump påkaldelse og denne påkaldelse er tilføjelsen af den eksterne vært navn. Den datafangst er dumpet til den nuværende vært, dvs. det system, som rtdump er blevet påberåbt, som standard rtdump bruger standardindstillingerne rpcap port værdier på 21.373 tcp og 61373 UDP til kommunikation med serveren processen, bortset fra RPC-processen. Hvis nogen af disse standardværdier skal ændres, den
initialisering kode i rtdump.c skal ændres i overensstemmelse hermed (se init_rpcap funktion og linjerne forud det).
Alle andre rtdump operationelle parametre er identiske med tcpdump (det * er * tcpdump med et par mindre ændringer, efter alle!), Så tjek venligst mand (1) tcpdump for detaljer.
Hvad er nyt i denne version:
Kommentarer ikke fundet