免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
楼主: kidexp

请问如何开启netfilter/iptables的连接追击功能 [复制链接]

论坛徽章:
0
发表于 2009-08-22 08:45 |显示全部楼层

回复 #20 Godbach 的帖子

汗....你可以用wireshark来实现,我基本就没有实现对分片包的代码可见,因为我是直接将分片包,写成文件,里面是乱码是打不开的,但可以用我的模块来扫描.....
以后希望你继续指教,小弟想深入的研究netfilter以及数据包的方方面面,谢谢

论坛徽章:
36
IT运维版块每日发帖之星
日期:2016-04-10 06:20:00IT运维版块每日发帖之星
日期:2016-04-16 06:20:0015-16赛季CBA联赛之广东
日期:2016-04-16 19:59:32IT运维版块每日发帖之星
日期:2016-04-18 06:20:00IT运维版块每日发帖之星
日期:2016-04-19 06:20:00每日论坛发贴之星
日期:2016-04-19 06:20:00IT运维版块每日发帖之星
日期:2016-04-25 06:20:00IT运维版块每日发帖之星
日期:2016-05-06 06:20:00IT运维版块每日发帖之星
日期:2016-05-08 06:20:00IT运维版块每日发帖之星
日期:2016-05-13 06:20:00IT运维版块每日发帖之星
日期:2016-05-28 06:20:00每日论坛发贴之星
日期:2016-05-28 06:20:00
发表于 2009-08-22 09:09 |显示全部楼层
那你怎么知道你的分片包是从那里来的啊。

BTW,深入学习netfilter的话,内核版有几篇九贱兄的精华帖可以参考一下。

论坛徽章:
0
发表于 2009-08-22 09:22 |显示全部楼层
原帖由 kidexp 于 2009-8-21 13:47 发表
好吧,应该是modprobe ip_conntrack 这个指令就可以了

应该是 modprobe nf_conntrack_ipv4
ip_conntrack 是 nf_conntrack 的 alias
nf_conntrack 只是一个框架,没有实质内容
nf_conntrack_ipv4 才是真正对 IPV4 部分重组、分片的部分,因此你的说法是错误的

论坛徽章:
0
发表于 2009-08-22 09:25 |显示全部楼层
原帖由 kidexp 于 2009-8-21 14:43 发表
没有,我在内核中已经加载了ip_conntrack 的模块,但是,我想得到的TCP分组还是很小,和wireshark抓包得到的结构一样大,所以我想是不是netfilter没有进行数据包分组

如果你想得到一个完整的 IP 包,利用 netfilter 的 conntrack 自动重组功能就可以了
如果你想得到一个完整的 TCP 流,你就要自己写程序,处理 TCP 协议(包括分片、重传、乱序,重传还包括快速重传和选择性重传),这部分 netfilter 是不包括的
如果你在用户态做抓包,恢复整个 TCP 流,有现成的库,会自动重组 TCP,还原成一条流,不用你自己去做,借助 libpcap 实现的,名字我忘记了

论坛徽章:
6
金牛座
日期:2013-10-08 10:19:10技术图书徽章
日期:2013-10-14 16:24:09CU十二周年纪念徽章
日期:2013-10-24 15:41:34狮子座
日期:2013-11-24 19:26:19未羊
日期:2014-01-23 15:50:002015年亚洲杯之阿联酋
日期:2015-05-09 14:36:15
发表于 2009-08-22 09:35 |显示全部楼层

回复 #24 platinum 的帖子

应该的libnids吧,可以实现tcp的数据包重组

论坛徽章:
0
发表于 2009-08-22 10:07 |显示全部楼层
原帖由 瀚海书香 于 2009-8-22 09:35 发表
应该的libnids吧,可以实现tcp的数据包重组

对对对!就是这个!

论坛徽章:
0
发表于 2009-08-22 10:13 |显示全部楼层
多谢上诉大牛的提醒,谢谢,因为我目前做的只是对包的处理,对流的操作以后再来对大家请教,谢谢 :

论坛徽章:
0
发表于 2009-08-22 10:14 |显示全部楼层

回复 #22 Godbach 的帖子

Godbach兄你的那个程序里面ipq_pcaket->payload里面的内容不是分片么?

论坛徽章:
0
发表于 2009-08-22 10:25 |显示全部楼层

回复 #24 platinum 的帖子

白金兄,我得到的数据包的大小还是和原来一样,数据长度最大只有1500
我用lsmod指令查看 nf_conntrack_ipv4 usedby 0
啥含义?

[ 本帖最后由 kidexp 于 2009-8-22 10:30 编辑 ]

论坛徽章:
0
发表于 2009-08-22 10:26 |显示全部楼层

回复 #22 Godbach 的帖子

我在网络版问了九贱兄的源码分析,没有人理我....
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP