Rtdump is 'n weergawe van tcpdump aangepas om die verkeer op afgeleë stelsels en netwerke te vang. Dit kan jy 'n pakkie capture program (die bediener) op 'n teiken rekenaar, wat die netwerk verkeer te snuffel op daardie stelsel, en uplink die gevange pakkies na 'n ander gasheer (die kliënt), waar die pakkies vasgevang verwerk kan word uit te voer, ontleed en argief. Die rpcap stelsel bestaan dus uit twee afsonderlike prosesse, die bediener (of agent) wat die netwerk verkeer vang op 'n afgeleë stelsel, en 'n kliënt wat ontvang en verwerk hierdie pakkies. Die bediener kode is 'n selfstandige uitvoerbare program wat gebruik maak van die libpcap pakkie capture biblioteek netwerk verkeer te vang. Die kliënt is eintlik 'n biblioteek genoem librpcap, wat gekoppel is aan 'n gebruiker program en gebruik word op die kliënt stelsel op 'n wyse identies aan libpcap.
Die librpcap kliënt biblioteek ontbloot 'n subset van die PCAP API soos omskryf in die PCAP (3) manpage. Die API gebruik op 'n wyse identies aan dié van libpcap, sodat enige programme wat nie gebruik maak van die libpcap funksies nie teenwoordig in rpcap kan direk na rpcap in die plek van PCAP. Die API funksies as 'n stel van PCAP-versoenbaar wrapper funksies oor 'n Sun RPC koppelvlak tot die afgeleë bediener, wat die ooreenstemmende libpcap funksionaliteit roep op dit.
Teen hierdie tyd het rpcap is gebou en getoets net op Linux op Intel platforms. Dit moet egter voort te bou op enige UNIX soos stelsel wat multithreading ondersteun en het die RPC biblioteke en utilities wat beskikbaar is, sodat dit moontlik is om dit te bou op die meeste stelsels moet wees. Let wel dat daar 'n paar foute in die kode (al my eie!) Wat tans beperk om dit te min endian stelsels. Ek sal hierdie so gou as moontlik op te los.
Die rtdump uitvoerbare is net 'n effens aangepaste weergawe van tcpdump. Die verskil is dat rtdump links teen librpcap eerder as libpcap en dit vereis 'n paar veranderinge in die inisialisering dinge. Die belangrikste verskil vir eindgebruikers is in die command line. Rtdump word soos volg drie maande:
rtdump
Die opsie gasheer naam remote is natuurlik die naam of IP-adres van die afgeleë gasheer waarop jy wil verkeer te vang.
Byvoorbeeld, in die mening wat jy wil tcp verkeer van 'n afgeleë masjien genaamd vang na jou plaaslike rekenaar (die kliënt), sê Fred, op Fred se eth1 koppelvlak, jy moet dus roep rtdump:
rtdump -i eth1 tcp fred
Die verskil tussen 'n normale tcpdump aanroeping en dit aanroeping is die toevoeging van die naam afgeleë gasheer. Die opname data is gestort om die huidige gasheer, dws die stelsel waarop rtdump is opgeroep, By verstek rtdump gebruik die verstek rpcap hawe waardes van 21.373 tcp en 61.373 UDP vir kommunikasie met die bediener proses, afgesien van die RPC-proses. Indien enige van hierdie standaard moet verander, die
inisialisering kode in rtdump.c moet dienooreenkomstig aangepas word (kyk na die init_rpcap funksie en die lyne wat dit voorafgaan).
Alle ander rtdump operasionele parameters is identies aan tcpdump (dit * is * tcpdump met 'n paar klein veranderinge, na alles!), So maak seker man (1) tcpdump vir meer besonderhede.
Wat is nuut in hierdie release:
Kommentaar nie gevind