Установка Tcpdump
Tcpdump полностью оправдывает свое имя: он выдает содержимое пакетов TCP/IP, проходящих через сетевой интерфейс, на устройство вывода (обычно - на экран или в файл).
- Чтобы анализатор Tcpdump работал, он должен иметь возможность перевести сетевую плату в так называемый режим прослушивания (или неразборчивый режим - promiscuous mode). Это означает, что сетевая плата будет перехватывать весь трафик Ethernet, а не только тот, что адресован ей. Каждая операционная система по-своему обрабатывает трафик платы Ethernet. Чтобы предоставить общую ссылку для программистов, была создана библиотека pcap. В UNIX она называется libpcap, а в Windows - WinPcap. Эти низкоуровневые драйверы могут изменять способ, которым плата обычно обрабатывает трафик. Они должны быть установлены до Tcpdump.
Если Tcpdump уже присутствует в системе, то установлены и драйверы. В противном случае возьмите их из каталога misc на компакт-диске, приложенном к этой книге, или с Web-сайта Tcpdump. Не забудьте установить их перед установкой Tcpdump.
Примечание: Для libpcap требуются также интерпретируемые языки Flex и Bison или, в качестве замены, - Lex и Yacc. Если у вас их нет, найдите их на дистрибутивном диске своей операционной системы или в Сети, и установите, чтобы установка libpcap прошла успешно.
- Установите libpcap, распаковав ее и выполнив стандартные команды компиляции: ./configure make make install
Если во время компиляции вы получите предупреждение вида "Cannot determine packet capture interface" ("Невозможно определить интерфейс перехвата пакетов"), то ваша сетевая плата не поддерживает режим прослушивания, и для применения Tcpdump придется взять другую плату. Большинство современных плат должны поддерживать этот режим.
- После установки libpcap распакуйте пакет Tcpdump и перейдите в его каталог.
- Выполните те же команды компиляции: ./configure make make install
Tcpdump готов к употреблению.