请教，想对网络数据进行分析，有几种方案，不知道那种好呢？

ryangecko

想对网络中的数据包进行分析，可能对web内容进行过滤和内容审计，想了一下，好像有点难与选择！
1.使用netfilter的hook进行对包处理，但是旁路(混杂模式)的包不处理了，进不了协议栈，只能用作代理或网桥模式，如果流量过大又会造成中断过高。
2.使用libpcap进行抓包进行分析，但是效率又不高，并且没有办法控制，pr-ring抓包效率会高点，好像也没有办法控制，如果流量过大cpu占用就会很高。

我是想实现既能高效对包分析处理，也能对处理后的包进行控制，最好能把包先到用户态处理，然后再流回到协议栈进行控制，是否能实现呢？

ryangecko

bekars

分析内容要重组tcp数据流，最简单的做法是代理方式，抓包方式重组流会很麻烦

ryangecko

用透明代理方式，是不是像squid

tuibo

加密的应用使用 透明代理可以， 不加密的没必要使用透明代理，透明代理效率比较差，在内核里面直接组装过滤比较好

samlumengjun

用2台机器,或者虚拟一台专门做审计用, netfilter这边把所有流量复制一份到审计那边就行了.

ryangecko

虚拟设备正在考虑

crazyhadoop

wireshark 是个神器啊





www.crazyhadoop.com