利用内核态连接跟踪机制

Godbach

原帖由 故哈 于 2009-3-11 16:34 发表
还有问题


bytes=80的意思是整个连接用了80字节？  2个数据包 对么 另外那个比较大的数是时间？ 那以什么为单位呢

一条链接跟踪记录包含了链接两个方向上数据的传输。

故哈

多谢 多谢 我自己再研究研究 回头再问你  

Godbach

原帖由 故哈 于 2009-3-11 16:42 发表
多谢 多谢 我自己再研究研究 回头再问你  

呵呵，共同学习。其实很惭愧，很多东西我也没彻底搞清楚。

platinum

原帖由 故哈 于 2009-3-11 16:14 发表

不是 。  我是要监控每个HTTP会话里边的cookie看是否有改动。查看这个无法达到目的。 我在看libnetfilter_conntrack

libnetfilter_conntrack 这个东西官方没有提供文档，胡哈兄研究出来了也一起分享一下！

Godbach

原帖由 platinum 于 2009-3-11 16:47 发表

libnetfilter_conntrack 这个东西官方没有提供文档，胡哈兄研究出来了也一起分享一下！

这个东东是实现什么功能的啊, 用户态做链接跟踪吗？

platinum

原帖由 Godbach 于 2009-3-11 17:01 发表


这个东东是实现什么功能的啊, 用户态做链接跟踪吗？

对，用户态的 queue 和 conntrack，可以直接在用户态处理数据包

dreamice

原帖由 platinum 于 2009-3-11 17:12 发表

对，用户态的 queue 和 conntrack，可以直接在用户态处理数据包

这个数据包和raw socket取的数据包不一样吧？

Godbach

原帖由 platinum 于 2009-3-11 17:12 发表

对，用户态的 queue 和 conntrack，可以直接在用户态处理数据包

哦，记得之前故哈兄提过。当时记得主要是封装用户态的函数，用来操作IP Queue报文的

Godbach

libnetfilter_conntrack介绍在这里：
http://netfilter.org/projects/libnetfilter_conntrack/index.html

Godbach

What is libnetfilter_conntrack?

libnetfilter_conntrack is a userspace library providing a programming interface (API) to the in-kernel connection tracking state table. The library libnetfilter_conntrack has been previously known as libnfnetlink_conntrack and libctnetlink. This library is currently used by conntrack-tools among many other applications.

估计代码里面会有更多的介绍