엄격한 보안 정책 규칙을 따르는 rpcapd가 설치된 원격 서버가 있습니다. 모든 클라이언트는 동일한 보안 정책을 따르는 방화벽을 통해서만 서버에 액세스할 수 있습니다. (저를 비난하지 마십시오. 제 생각은 아니었습니다.) 원격 캡처를 위해 서버와 방화벽에서 열려 있는 유일한 포트는 입니다 tcp:2002
. 또한 방화벽은 알 수 없는 나가는 포트를 차단합니다. 전체 그림은 다음과 같습니다.
client >> firewall (tcp:2002 opened) >> target server (tcp:2002 opened)
문제는 rpcapd가 캡처된 트래픽을 클라이언트에 전달하기 위해 "데이터 포트"(tcp 또는 udp)를 사용합니까? 그렇다면 이 포트는 무엇입니까? cmd 스위치를 통해 수동으로 설정할 수 있나요?
문서에 언급된 유일한 포트는...
-p <port> It sets the port the daemon has to bind to. Default: it binds to port 2002.
.. 하지만 이것이 일종의 "제어 포트"라면 제 경우에는 원격 캡처가 작동하지 않습니다.
답변1
문서를 읽으면 제공한 스키마에 활성 모드가 유용해 보입니다. [출처:https://www.winpcap.org/docs/docs_412/html/group__remote.html]
Remote Capture Running Modes
The Remote Capture Protocol (RPCAP) can work in two modes:
Passive Mode (default): the client (e.g. a network sniffer) connects to the remote daemon, it sends them the appropriate commands, and it starts the capture.
Active Mode: the remote daemon try to establish a connection toward the client (e.g. the network sniffer); then, the client sends the appropriate commands to the daemon and it starts the capture. This name is due to the fact thet the daemon becomes active instead of waiting for new connections.
The Active Mode is useful in case the remote daemon is behind a firewall and it cannot receive connections from the external world. In this case, the daemon can be configured to establish the connection to a given host, which will have been configured in order to wait for that connection. After establishing the connection, the protocol continues its job in almost the same way in both Active and Passive Mode.