Платформа: - 32-битная машина Fedora 13
RemoteMachine $ ./rpcapd -n
ClientMachine $ tshark -w "имя файла" -i "любое имя интерфейса"
Как только захват начинается без какого-либо фильтра захвата, захватываются тысячи пакетов. Rpcapd по умолчанию привязывается к порту 2002 и при установке соединения отправляет клиенту случайно выбранный номер порта для дальнейшего взаимодействия. И клиентские, и серверные машины обмениваются TCP-пакетами через случайно выбранные порты. Итак, я даже не могу указать фильтр захвата, чтобы заблокировать этот связанный с rpcap трафик TCP.
Wireshark и tshark для Windows имеют параметр «Не захватывать собственный трафик Rpcap» в настройках удаленного доступа в диалоговом окне «Редактировать интерфейс». Но в tshark для linux такой опции нет.
Также будет лучше, если кто-нибудь скажет мне, как wirehark блокирует трафик rpcap ....
Используйте фильтр отображения, который блокирует RPCAP протокол, а не порт или IP-адрес.
У меня нет данных, чтобы попробовать, но как это работает?
$ tshark -R 'not rpcap' and_then_the_rest_of_your_command