rpcapd: Capture Remote System Network Traffic
若要將某台 Linux Server 某個 interface 上的封包倒至 Wireshark GUI 裏 (參考下圖), 則需要利用 rpcapd 這支程式來幫助我們達成這件事情, 其實 rpcapd 是被包在 WinPcap 裡面
做這件事的好處有不少
- 即時 Capture remote interface
- 有完善的 Wireshark GUI 可以看
- Linux server 不用裝 X-Windows
- 不用傳 .pcap 做封包研究
Linux Server 部分
- OS: Ubuntu x86_64 14.04.1 LTS
下載 rpcapd-linux
apt-get build-dep libpcap -y
git clone https://github.com/frgtn/rpcapd-linux
安裝 rpcapd
cd ./rpcapd-linux/libpcap
./configure && make
cd ../ && make
啟動 rpcapd
sudo ./rpcapd -4 -n -p 8888
- -4 ipv4
- -n NULL authentication
- -p port numbers (example: 8888)
- more parameter
Wireshark GUI setting
- Version: Development Release (1.12.0rc3)
- 主要是為了 decoding OpenFlow
設定 interface
選擇 Capture > Interfaces > Options > Manage Interfaces > Remote Interfaces > Add > 填入ip and port> OK > Close
選擇 montior interface > start
結果
(Optional) OpenFlow decode
- Edit > Preferences > Protocols > openflow > OpenFlow TCP port 6633
- 為什麼預設是 6653 ? 這是因為其實在 2013-07-18 後 IANA 規定 OpenFlow protocol 是 6653, 而不是 6633
