Using WinPcap Remote Capture

　WinPcap 3.0 はリモートキャプチャ機能を搭載しています。これは、リモートマシンと情報をやり取りしてリモートネットワーク上を伝送するパケットをキャプチャする、高度な実験に基づいた機能です。

　この機能は、データをキャプチャして送信する機能を持つリモートデーモン(rpcadと呼ばれる)と、適切なコマンドを送信してキャプチャデータを受信するローカルクライアントを必要とします。

　WinPcap 3.0 はそういった仕方で標準のWinPcapコードを拡張し、全てのWinPcapベースのツールがリモートキャプチャ機能を利用できるようにします。例えば、何の修正や変更なしにリモートデーモンと情報をやり取りする機能を加えることが出来ます。逆もまた同じで、リモートデーモンはリモートマシン上にきちんとインストール(設定)されます。

リモートキャプチャの実行モード

　リモートキャプチャプロトコル(RPCAP)は、次の二つのモードで動作します。

　アクティブモードは、リモートデーモンがファイヤーウォールなどの内側にいて、外部からの接続が受け取れない場合に有効なモードです。この場合、デーモンは与えられたホストに対しての接続を確立するように設定されて、その接続に対して待機するように設定されます。接続が確立されると、プロトコルはアクティブモードとパッシブモードで同じようにジョブを続けます。

　アナライザ(http://analyzer.polito.it/30alpha/) は、リモート接続を受理してリモートデバイス上でキャプチャをはじめることを可能とする、コマンドのセット(ファイルメニュー内)を持っています。現在のところ、アナライザはアクティブモードでだけで動作するツールですので、アプリケーションコードの変更と修正が必要です。

リモートデーモン(rpcapd)の構成設定

　リモートデーモンは、コンソールモードとサービスのどちらででも動く標準的なWin32実行ファイルです。この実行ファイルはWinPcapフォルダ内にあり、続く構文が含まれています。

　ここに、使用可能なコマンドとそれに関する手短な解説を示します。

スイッチ	解説
-b <address>	デーモンがバインド(接続)されなければならないアドレス(数値：IPアドレスか、文字列：ドメイン名)を設定します。デフォルト：ローカルのIPv4、IPv6アドレス全てにバインドされます。
-p <port>	デーモンがバインドしなければならないポートを設定します。デフォルト：ポート2002にバインドします。
-4	IPv4アドレスだけにバインドします。デフォルト：IPv4とIPv6両方の待機ソケットが使用されます。
-l <host_list_file>	このデーモンが接続を許されているホストのリストを保存しているファイルを特定します(一つ以上の場合はファイルは一行につき一つを保存)。IPv4とIPv6の違ったアドレスファミリーに関するトラブルを避けるために、ここでは数値の代わりに文字列を使用することを奨めます。
-n	NULL認証を許可します(通所は許可されたホストだけがデーモンに接続できることを保証する"-l"と共に使用される)。デフォルト：ユーザーネーム/パスワード認証メカニズムが必要になります。
-a <host, port>	デーモンをアクティブモードで実行させて、ポート'port'で'host'に接続します。これは、デーモンがまだパッシブ接続を受け入れることが出来るということを排除しません。
-v	デーモンをアクティブモードでだけ実行させます。(デフォルト：デーモンは、"-a"スイッチが特定されていてもアクティブ接続を受け入れます)
-d	デーモンをバックグラウンドで実行させます。すなわちデーモン(UNIX)として、ないしはサービス(Win32)としてです。注意 (Win32): このスイッチは、WinPcapがこのデーモンをWin32サービス(コントロールパネル－管理ツール－サービス)にインストールした時に、自動的に提供されます。
-s <file>	現在の設定をファイルに保存します。
-f <file>	現在の設定をファイルから読み込みます。コマンドラインから特定される全てのスイッチは無視され、代わりにファイルセッティングが使用されます。
-h	ヘルプを画面上に表示します。

リモートデーモンのインストール

　リモートデーモンはWinPcap3.0のインストール時に自動的にインストールされます。インストールプロセスはWinPcapフォルダ内の rpcapdファイルにあります。このファイルはコマンドラインからでもサービスからでも実行できます。例えば、インストールプロセスは利用可能なサービスリストのリストをアップデートして新たなアイテム(リモートパケットキャプチャプロトコルv.0 (実験用) )を作り出します。セキュリティのトラブルを避けるために、サービスは稼動せず、手動でスタートされなければなりません(コントロールパネル－管理ツール－サービス－スタート)。

　サービスは“標準”のパラメータセットを持っています。すなわち、それはフラグ"-d"(サービスとして実行させるために)と、"-f rpcapd.ini"で起動されます。ユーザーは実行ファイルと同じフォルダにファイルrpcapd.iniを作ることが出来、設定コマンドをそこに含めることが出来ます。サービスがコマンドを実行するためには、それに、中止する -HUP 信号を送信した時に設定ファイルを読み込むことが出来ます。その場合は、新たなパラメータによって新しい接続が作られる間、存在している接続はそこに残されます。

　ユーザーが設定ファイルを手動で作りたくない場合、それは要求されたパラメータと "

-s
filename

" で rpcapd を起動します。デーモンは全てのパラメータを解析して、それらを指定された設定ファイルに保存します。

リモートデーモンを標準の実行ファイルとして起動する

　rpcapd 実行ファイルは直接起動されます。すなわち、デーモン/サービスとしてではなくフォアグラウンドで実行されます。プロシージャは非常にシンプルです。全ての要求されたパラメータで、しかし"-d"フラグでコマンドラインから実行ファイルを呼び出さなければなりません。キャプチャサーバーはフォアグラウンドでスタートします。

リモートマシン上でキャプチャを起動する

　もしリモートキャプチャ(アナライザのような)としてすでに知られているツールを使っているなら、全てはシンプルです。キャプチャウィザードが、適切なインターフェイスをリモートマシン上に割り振るのを手助けします。

　あなたの好みのツールがリモートキャプチャとして知られたものでなくても、リモートキャプチャを使用することが出来ます。その場合は、次のセクションをお読みください。

注意: キャプチャサーバー(rpcapd)がリモートマシン上で作動して実行されていなければなりません。

インターフェイス選択の新しい指示子文字列

　あなたの好みのツールがリモートキャプチャとして知られたものでなくても、必要なことはコンタクトしたいリモートマシンへの指示を表す、インターフェイスの指示子を挿入するだけです。続くフォームが示されています。

アダプタ文字列	解説
file://filename	ローカルファイルを開きます。
rpcap://host.foo.bar/adaptername	リモートアダプタを開きます。ホストは、ポート番号なし(RPCAPデフォルトのポートを使うため)の文字列(ドメイン名)によって特定されます。
rpcap://host.foo.bar:1234/adaptername	上記と同じですが、別のポート番号を使用します。
rpcap://10.11.12.13/adaptername	リモートアダプタを開きますが、ホストはポート番号なし(RPCAPデフォルトのポートを使うため)のIPv4数値アドレスによって特定されます。
rpcap://10.11.12.13:1234/adaptername	上記と同じですが、別のポート番号を使用します。
rpcap://[10.11.12.13]:1234/adaptername	上記と同じですが、数値アドレスは各カッコ内で特定されます(IPV6アドレスのように)。
rpcap://[1:2:3::4]/adaptername	リモートアダプタを開きますが、ホストはポート番号なし(RPCAPデフォルトのポートを使うため)のIPv6数値アドレスによって特定されます。IPv6の場合、必ず角カッコを使用しなければなりません。
rpcap://[1:2:3::4]:1234/adaptername	上記と同じですが、別のポート番号を使用します。
rpcap://adaptername	RPCAPプロトコルを使用せずにローカルアダプタを開きます。
adaptername	ローカルアダプタを開きます。互換性のために存在していますが、非推奨です。
(NULL)	最初のローカルアダプタを開きます。互換性のために存在していますが、非推奨です。

アダプタ文字列	解説
rpcap://	最初のローカルアダプタを開くのには使用できません。
rpcap://hostname/	最初のリモートアダプタを開くのには使用できません。