Rtdump เป็นรุ่นของ tcpdump แก้ไขเพื่อจับภาพการจราจรบนระบบระยะไกลและเครือข่าย ซึ่งจะช่วยให้คุณสามารถเรียกใช้โปรแกรมจับแพ็คเก็ต (เซิร์ฟเวอร์) บนเครื่องคอมพิวเตอร์เป้าหมายซึ่งจะสูดอากาศจราจรของเครือข่ายในระบบที่และถ่ายทอดสัญญาณจับแพ็คเก็ตไปยังโฮสต์อื่น (ลูกค้า) ที่จับแพ็คเก็ตสามารถประมวลผลวิเคราะห์ และเก็บ ระบบ rpcap จึงประกอบด้วยสองกระบวนการแยกเซิร์ฟเวอร์ (หรือตัวแทน) ที่จับเครือข่ายการจราจรบนระบบระยะไกลและลูกค้าที่ได้รับและประมวลผลแพ็กเก็ตเหล่านี้ รหัสเซิร์ฟเวอร์เป็นโปรแกรมปฏิบัติการแบบสแตนด์อโลนที่ใช้ห้องสมุดจับ packet libpcap ในการจับภาพของเครือข่าย ลูกค้าเป็นจริงที่เรียกว่าห้องสมุด librpcap ซึ่งจะเชื่อมโยงไปยังผู้ใช้โปรแกรมและใช้กับระบบของลูกค้าในลักษณะที่เหมือนกันกับ libpcap
ห้องสมุดลูกค้า librpcap exposes ย่อยของ pcap API ที่กำหนดไว้ใน pcap (3) manpage API จะใช้ในลักษณะที่เหมือนกันกับที่ของ libpcap เพื่อให้โปรแกรมใด ๆ ที่ไม่ได้ใช้ฟังก์ชั่น libpcap ไม่ได้อยู่ใน rpcap โดยตรงสามารถเชื่อมโยงไปยัง rpcap ในสถานที่ของ pcap ฟังก์ชัน API เป็นชุดของฟังก์ชั่นเสื้อคลุม pcap ได้มากกว่าอินเตอร์เฟซ RPC อาทิตย์กับเซิร์ฟเวอร์ระยะไกลซึ่งเรียกการทำงานที่สอดคล้องกัน libpcap กับมัน
ในเวลานี้ rpcap ได้รับการสร้างและการทดสอบเฉพาะในลินุกซ์บนแพลตฟอร์มของอินเทล แต่ก็ควรจะสร้างบน UNIX ใด ๆ เช่นระบบที่สนับสนุนมัลติเธรดและมีห้องสมุด RPC และสาธารณูปโภคที่มีอยู่เพื่อที่ว่ามันควรจะเป็นไปได้ที่จะสร้างมันขึ้นมาในระบบส่วนใหญ่ โปรดทราบ แต่ที่มีคู่ของข้อบกพร่องในรหัส (ของตัวเองทั้งหมด!) ว่าขณะนี้ จำกัด กับระบบน้อย endian ผมจะแก้ไขปัญหานี้โดยเร็ว
ปฏิบัติการ rtdump เป็นเพียงรุ่นที่ปรับเปลี่ยนเล็กน้อย tcpdump แตกต่างก็คือการเชื่อมโยงกับ rtdump librpcap มากกว่า libpcap และอื่น ๆ ต้องมีการปรับเปลี่ยนบางอย่างในสิ่งที่เริ่มต้น แตกต่างที่สำคัญสำหรับผู้ใช้ที่อยู่ในบรรทัดคำสั่ง Rtdump ถูกเรียกดังนี้
rtdump
ตัวเลือกชื่อโฮสต์ระยะไกลเป็นหลักสูตรชื่อหรือที่อยู่ IP ของพื้นที่ห่างไกลที่คุณต้องการที่จะจับภาพการจราจร
ตัวอย่างเช่นสมมติว่าคุณต้องการที่จะจับภาพการจราจร TCP ไปยังเครื่องท้องถิ่นของคุณ (ลูกค้า) จากเครื่องระยะไกลที่เรียกว่าพูดว่าเฟร็ดในอินเตอร์เฟซที่ eth1 เฟร็ดของคุณควรเรียก rtdump ดังนี้:
rtdump -i eth1 TCP เฟร็ด
ความแตกต่างระหว่างการภาวนา tcpdump ปกติและการภาวนานี้คือนอกเหนือจากชื่อโฮสต์ระยะไกล ข้อมูลที่มีการจับภาพทิ้งไปยังโฮสต์ปัจจุบันระบบเช่นที่ rtdump ได้รับการเรียกโดย rtdump เริ่มต้นใช้ค่าพอร์ต rpcap เริ่มต้น 21,373 TCP และ UDP 61373 สำหรับการสื่อสารกับกระบวนการเซิร์ฟเวอร์นอกเหนือจากกระบวนการ RPC ถ้าใด ๆ ของการเริ่มต้นเหล่านี้จะต้องมีการเปลี่ยนแปลง
รหัสการเริ่มต้นใน rtdump.c จะต้องมีการปรับเปลี่ยนตามความเหมาะสม (ตรวจสอบการทำงานของ init_rpcap และเส้นก่อนหน้านั้น)
พารามิเตอร์ในการดำเนินงานอื่น ๆ ทั้งหมด rtdump เหมือนกับ tcpdump (มัน * * * * * * * * เป็น tcpdump กับการปรับเปลี่ยนเล็กน้อยหลังจากทั้งหมด!) ดังนั้นโปรดตรวจสอบคน (1) tcpdump สำหรับรายละเอียด
มีอะไรใหม่ในรุ่นนี้:
ความคิดเห็นที่ไม่พบ