Удаленный анализ с помощью rpcapd

Удаленное наблюдение за сетью возможно с помощью rpcapd. Если вы когда-либо наблюдали за сетевым трафиком из другого сегмента сети и использовали такой графический анализатор протокола, как Ethereal (http:// www.ethereal.com), то вы представляете, сколько это отнимает времени. Сначала необходимо выполнить перехват данных, после этого зайти на рабочую станцию, с которой запущен анализатор, и загрузить в него файл. Это создает реальную проблему из-за увеличения времени между выполнением эксперимента и просмотром результата. Таким образом, диагностика и устранение сетевых проблем занимают времени больше, чем должны. Одним из средств решения этой проблемы является rpcapd — программа, входящая в состав WinPcap (http://wjnpcap.polito.it). Программа rpcapd — это демон, который наблюдает за сетевыми интерфейсами в «беспорядочном режиме» и отправляет собранные данные на анализатор, запущенный на удаленной машине.

На заметку: Если Вам требуется лечение рака яичников в Израиле, тогда советуем посетить сайт http://isramedmost.com/.

Запустить rpcapd можно из командной строки или как службу. Для запуска rpcapd можно использовать ключ -п, позволяющий запускать демон без аутентификации.

Для получения имени устройства с помощью WinDump просто запустите его с флагом -D: C:\Program Files\WinPcap>windump -D
l.\Device\NPF_{EE07A5AE-4D19-4118-97CE-3BF656CD718F} (NDIS 5.0 driver)
Получить имя можно также с помощью Ethereal, перейдя в меню Capture и щелкнув на кнопке Start. После этого откроется диалоговое окно, в котором перечислены все доступные в системе сетевые адаптеры. Имя устройства (device name) в этом списке — это то имя, которое необходимо указать при подключении к rpcapd с удаленной системы.

При подключении к удаленной машине с помощью любимого анализатора портов поместите имя сетевого интерфейса, за которым вы хотите наблюдать, после rpcap и имени узла: rpcap://plunder/\Device\NPF_{EE07A5AE-4D19-4118-97CE-3BF656CD718F}.

При правильной настройке поток трафика с удаленной системы будет представлен в анализаторе так, как будто он захвачен с помощью локального интерфейса.

источник: Локхарт Э. Антихакинг в сети. Трюки.


Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *