基于包内容的关键字过滤－－－求助

gordenisgk

目前正在学校做一个内网安全的项目，合同上有关键字过滤这个要求。我们的方案是，在网关(Linux OS)上将每个包的数据拆开，进行关键字匹配，如果匹配成功，则drop此包。
   查了相关libpcap的资料，发现它只能按一定的规则抓包，而且这些包还是从内核空间拷贝到用户空间的，并不能改变包的命运。能决定包命运的有netfilter，不知是否需要从netfilter下手？
  不过，在本论坛上(http://linux.chinaunix.net/bbs/viewthread.php?tid=899077)看到3楼这位大侠说可以用libpcap过滤内容，望指点！
  本人联系方式：QQ：83558633

wzhuzhu

修改目的地址和端口，然后重新计算checksum的值。

gordenisgk

大家帮我想一想啊，如果我检测到了关键字，想让这个网页重定向到指定网页该怎么实现呢？？？

platinum

原帖由 gordenisgk 于 2009-4-30 10:34 发表
乱序的问题应该不用考虑，Netfilter似乎已经解决了这个问题。

好像没有吧
netfilter 可以被看成是一个 hook 点
NAT 模式我不清楚，但如果是桥模式的话，只要 TCP 数据的 window 在合法范围之内，数据被视为是正确的，不会被 DROP，会原封不动的发到另一边

而且无论 netfilter 能否解决乱序问题，正如你所说，重传情况也是必须要考虑的，乱序和重传的情况其实是一样的，如果重传能解决，乱序也没问题

gordenisgk

乱序的问题应该不用考虑，Netfilter似乎已经解决了这个问题。到是重传的包有点麻烦，可能这边处理的速度慢了，服务器没有收到ack。我很想做一个网页重定向的功能，不知道怎么实现？

platinum

原帖由 gordenisgk 于 2009-4-29 14:49 发表
谢谢大家的帮助，我目前以基本上实现了这个功能，我是使用iptables -A INPUT -p tcp --sport 80 -j NFQUEUE使数据包发送到用户空间，然后从数据链路层还原到应用层，主要处理的http协议里面的数据，包括gzip压缩 ...

呃，这样啊？
那难度不小

如果你要在网络层处理应用层数据流的话，还要考虑丢包重传、乱序等情况
如果你收到的数据包序号是 1、2、3、3、4（3 重传过一次），那么这个数据内容恐怕是不能被 gunzip 的……

gordenisgk

谢谢大家的帮助，我目前以基本上实现了这个功能，我是使用iptables -A INPUT -p tcp --sport 80 -j NFQUEUE使数据包发送到用户空间，然后从数据链路层还原到应用层，主要处理的http协议里面的数据，包括gzip压缩的格式。

tompanpan

还是比较赞同dreamice的说法的，我之前有测试过，大概对原有延时会提升50％－150%的增加，但是实际情况是原来延时是<1ms，用ip queue之后延时还是小于<1ms，当然我是用ping做的测试，结果不一定能反应问题本质，毕竟这个影响跟用户层如何处理有关系，但是正如dreamice所说的，从内核到用户态，从用户态到内核态，对效率的影响必定是较大的，这里的效率影响点主要是内核和用户态的切换以及用户态处理的影响两点－_－

Godbach

原帖由 sunki 于 2009-3-28 23:58 发表
关键字过滤，就算是硬件防火墙也是CPU占100％，可以用snort＋iptables 试试

这个应该和流量大小有关吧

sunki

关键字过滤，就算是硬件防火墙也是CPU占100％，可以用snort＋iptables 试试