Como bloquear o tráfego do próprio rpcap onde o tshark está rodando?

3

Plataforma: - Máquina de 32 bits do Fedora 13

RemoteMachine $ ./rpcapd -n

ClientMachine $ tshark -w "nome do arquivo" -i "qualquer nome de interface"

Assim que a captura é iniciada sem nenhum filtro de captura, milhares de pacotes são capturados. O Rpcapd liga-se à porta 2002 por padrão e, enquanto estabelece a conexão, envia um número de porta escolhido aleatoriamente para o cliente para comunicação posterior. Ambas as máquinas cliente e servidor trocam pacotes tcp através de portas escolhidas aleatoriamente. Então, eu não posso nem mesmo especificar o filtro de captura para bloquear esse tráfego tcp relacionado ao rpcap.

Wireshark & tshark para Windows tem uma opção "Não capture o próprio Rpcap Traffic" na caixa de diálogo Remote Settings in Edit Interface. Mas não existe essa opção em tshark para linux.

Também será melhor se alguém puder me dizer como o wireshark bloqueia o tráfego do rpcap ...

    
por Pankaj Goyal 07.11.2013 / 20:08

1 resposta

0

Use um filtro de exibição que bloqueie o protocolo RPCAP , não a porta nem o endereço IP.

Não tenho dados para experimentar, mas como isso funciona?

$ tshark -R 'not rpcap' and_then_the_rest_of_your_command
    
por 07.11.2013 / 22:30