rpcap + wireshark — инструмент для удаленного снятия дампов

Задача: снимать удобочитаемый и фильтруемый дамп с linux серверов. Как вариант воспользоваться tcpdump или же tshark, записать данные в файл, перенести на windows или linux-desktop тачку и курить. Но это долго, муторно и неудобно. А так же, так как я очень часто снимаю дампы звонков мне желательно видеть дамп в онлайн режиме.

Отличный выход из этой ситуации — rpcapв + wireshark.

К сожалению rpcapd еще нет в репозиториях ubuntu и debin, однако он легко скачивается и собирается.

 

вот и все.

 

Далее нам нужно стартануть демон. Параметры запуска могут быть следующими:

Можно запустить как демон, можно access листы использовать, но я обычно запускаю так:

где 25123 порт, который будет слушать rpcap.

Далее запускаем Wireshark, идем во вкладку Capture -> Option -> Inmput -> Manage Interface -> Remote Interfaces -> +. В поле Host вводим IP адрес сервера, в поле Port — наш порт, соответсвенно.

Нажимаем ОК, далее выбираем нужные интерфейсы из списка, и жмакаем кнопку Start. Вуаля, удобный дамп, в онлайн режиме, с удобными фильтрами и анализом.

По завершению дамапа, убиваем демон rpcapd нажатием Ctrl+C.