Chinaunix

标题: 请教，想对网络数据进行分析，有几种方案，不知道那种好呢？ [打印本页]

作者: ryangecko 时间: 2011-01-19 22:28
标题: 请教，想对网络数据进行分析，有几种方案，不知道那种好呢？
想对网络中的数据包进行分析，可能对web内容进行过滤和内容审计，想了一下，好像有点难与选择！
1.使用netfilter的hook进行对包处理，但是旁路(混杂模式)的包不处理了，进不了协议栈，只能用作代理或网桥模式，如果流量过大又会造成中断过高。
2.使用libpcap进行抓包进行分析，但是效率又不高，并且没有办法控制，pr-ring抓包效率会高点，好像也没有办法控制，如果流量过大cpu占用就会很高。

我是想实现既能高效对包分析处理，也能对处理后的包进行控制，最好能把包先到用户态处理，然后再流回到协议栈进行控制，是否能实现呢？

作者: ryangecko 时间: 2011-01-19 23:12

作者: bekars 时间: 2011-01-20 09:13
分析内容要重组tcp数据流，最简单的做法是代理方式，抓包方式重组流会很麻烦

作者: ryangecko 时间: 2011-01-20 10:05
用透明代理方式，是不是像squid

作者: tuibo 时间: 2011-01-21 22:12
加密的应用使用透明代理可以，不加密的没必要使用透明代理，透明代理效率比较差，在内核里面直接组装过滤比较好

作者: samlumengjun 时间: 2011-01-25 14:17
用2台机器,或者虚拟一台专门做审计用, netfilter这边把所有流量复制一份到审计那边就行了.

作者: ryangecko 时间: 2011-04-08 10:06
虚拟设备正在考虑

作者: crazyhadoop 时间: 2011-04-11 18:21
wireshark 是个神器啊

www.crazyhadoop.com

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)