Rtdump é uma versão modificada do tcpdump para capturar o tráfego sobre os sistemas e redes remotas. Ele permite que você execute um programa de captura de pacotes (o servidor) em um computador de destino, o que irá capturar o tráfego de rede em que o sistema, e uplink os pacotes capturados para outro host (o cliente), onde os pacotes capturados podem ser processados, analisados e arquivado. O sistema rpcap consiste assim em dois processos separados, o servidor (ou agente) que captura o tráfego de rede em um sistema remoto e um cliente, que recebe e processa esses pacotes. O código do servidor é um programa executável autônomo que usa a biblioteca de captura de pacotes libpcap para capturar o tráfego de rede. O cliente é, na verdade, uma biblioteca chamada librpcap, que está ligado a um programa de utilizador e utilizada no sistema cliente de um modo idêntico ao libcap.
A biblioteca de cliente librpcap expõe um subconjunto da API pcap como definido na pcap (3) de manual. O API é usado de uma maneira idêntica à do libcap, de modo que todos os programas que não utilizam as funções libpcap não presentes no rpcap pode ligar directamente a rpcap em lugar de pcap. As funções de API como um conjunto de funções de mensagens publicitárias pcap compatível com mais de uma interface Sun RPC para o servidor remoto, que invocam a funcionalidade libpcap correspondente nele.
Neste momento, rpcap foi construído e testado apenas no Linux em plataformas Intel. No entanto, deve construir em qualquer UNIX como sistema que suporta multithreading e tem as bibliotecas RPC e utilitários disponíveis, de modo que deveria ser possível construí-lo na maioria dos sistemas. Observe, porém, que há um par de erros no código (todo o meu próprio!) Que, atualmente, restringi-la aos sistemas de little-endian. Vou corrigir isso o mais rápido possível.
O executável rtdump é apenas uma versão ligeiramente modificada do tcpdump. A diferença é que as ligações rtdump contra librpcap ao invés de libpcap, e por isso requer algumas modificações no material de inicialização. A principal diferença para os usuários finais está na linha de comando. Rtdump é invocada como segue:
rtdump
A opção nome do host remoto é, naturalmente, o nome ou endereço IP do host remoto no qual você deseja capturar o tráfego.
Por exemplo, supondo que você deseja capturar o tráfego tcp para a sua máquina local (o cliente) a partir de uma máquina remota chamada, digamos, fred, na interface eth1 de fred, você deve invocar rtdump assim:
-i eth1 rtdump tcp fred
A diferença entre uma invocação tcpdump normal e esta invocação é a adição do nome do host remoto. Os dados de captura é despejado para o host atual, ou seja, o sistema no qual rtdump tem sido invocado, por rtdump padrão usa os valores de porta rpcap padrão de 21373 tcp e udp 61373 para a comunicação com o processo do servidor, além do processo RPC. Se qualquer um desses padrões precisam ser alteradas, a
código de inicialização em rtdump.c tem que ser modificado em conformidade (verifique a função init_rpcap e as linhas anteriores dele).
Todos os outros parâmetros operacionais rtdump são idênticos aos tcpdump (ele * é * tcpdump com algumas pequenas modificações, depois de tudo!), Portanto, verifique homem (1) tcpdump para mais detalhes.
O que há de novo nesta versão:
Comentários não encontrado