免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
楼主: dreamice

请教:有关Netfilter的问题 [复制链接]

论坛徽章:
3
金牛座
日期:2014-06-14 22:04:062015年辞旧岁徽章
日期:2015-03-03 16:54:152015年迎新春徽章
日期:2015-03-04 09:49:45
发表于 2009-03-16 11:24 |显示全部楼层
原帖由 独孤九贱 于 2009-3-16 11:20 发表
你说的问题好像是不存在的吧,或许我还没有考虑得很深入。
为什么会有多个目的地呢?以目的地址路由来考虑,目的地址只有一个。如果改为本机IP,则就进入本机了噻。至于三次握手,我更晕了??
你既然你把它引 ...


九贱兄,你可能没看完我的需求,呵呵。

我是clone一份来监控,原包还是会继续路由出去的。如果我本地和源地址握手了,那真正的目的地和谁握手呢?

论坛徽章:
3
金牛座
日期:2014-06-14 22:04:062015年辞旧岁徽章
日期:2015-03-03 16:54:152015年迎新春徽章
日期:2015-03-04 09:49:45
发表于 2009-03-16 11:25 |显示全部楼层
原帖由 Godbach 于 2009-3-16 11:20 发表
dreamice兄看下面的图片,不是有socket的传输可以直接从IP层到应用层的


你说的这个是raw socket?

论坛徽章:
36
IT运维版块每日发帖之星
日期:2016-04-10 06:20:00IT运维版块每日发帖之星
日期:2016-04-16 06:20:0015-16赛季CBA联赛之广东
日期:2016-04-16 19:59:32IT运维版块每日发帖之星
日期:2016-04-18 06:20:00IT运维版块每日发帖之星
日期:2016-04-19 06:20:00每日论坛发贴之星
日期:2016-04-19 06:20:00IT运维版块每日发帖之星
日期:2016-04-25 06:20:00IT运维版块每日发帖之星
日期:2016-05-06 06:20:00IT运维版块每日发帖之星
日期:2016-05-08 06:20:00IT运维版块每日发帖之星
日期:2016-05-13 06:20:00IT运维版块每日发帖之星
日期:2016-05-28 06:20:00每日论坛发贴之星
日期:2016-05-28 06:20:00
发表于 2009-03-16 11:26 |显示全部楼层

回复 #102 dreamice 的帖子

恩,可以吗?

或者netlink是不是也可以考虑一下

论坛徽章:
0
发表于 2009-03-16 11:31 |显示全部楼层
原帖由 dreamice 于 2009-3-16 11:24 发表


九贱兄,你可能没看完我的需求,呵呵。

我是clone一份来监控,原包还是会继续路由出去的。如果我本地和源地址握手了,那真正的目的地和谁握手呢?


监控,怎么监控??是不是相当于网络日志处理记录功能??记录下通过本机的所有网络日志??并不是要改数据包的目的地址之类的?

论坛徽章:
36
IT运维版块每日发帖之星
日期:2016-04-10 06:20:00IT运维版块每日发帖之星
日期:2016-04-16 06:20:0015-16赛季CBA联赛之广东
日期:2016-04-16 19:59:32IT运维版块每日发帖之星
日期:2016-04-18 06:20:00IT运维版块每日发帖之星
日期:2016-04-19 06:20:00每日论坛发贴之星
日期:2016-04-19 06:20:00IT运维版块每日发帖之星
日期:2016-04-25 06:20:00IT运维版块每日发帖之星
日期:2016-05-06 06:20:00IT运维版块每日发帖之星
日期:2016-05-08 06:20:00IT运维版块每日发帖之星
日期:2016-05-13 06:20:00IT运维版块每日发帖之星
日期:2016-05-28 06:20:00每日论坛发贴之星
日期:2016-05-28 06:20:00
发表于 2009-03-16 11:35 |显示全部楼层
原帖由 独孤九贱 于 2009-3-16 11:31 发表


监控,怎么监控??是不是相当于网络日志处理记录功能??记录下通过本机的所有网络日志??并不是要改数据包的目的地址之类的?


感觉有点像啊。他这里不影响原先报文的传输,同时拷贝到了本机一份

论坛徽章:
0
发表于 2009-03-16 11:37 |显示全部楼层
如果只是这样,那么Ulog就是一个很现成的例子噻??简单易用,克隆后直接使用netlink发送到应用层,应用层想怎么处理就怎么理呀。哈哈。不过我最不喜欢监控别人上网聊天的行为了……

论坛徽章:
3
金牛座
日期:2014-06-14 22:04:062015年辞旧岁徽章
日期:2015-03-03 16:54:152015年迎新春徽章
日期:2015-03-04 09:49:45
发表于 2009-03-16 12:13 |显示全部楼层
原帖由 独孤九贱 于 2009-3-16 11:31 发表


监控,怎么监控??是不是相当于网络日志处理记录功能??记录下通过本机的所有网络日志??并不是要改数据包的目的地址之类的?


没这么简单啊,如果是这样的话,我直接可以用libpcap了,何必在内核去clone包。
我是希望这个clone,对本地应用程序是透明的。

论坛徽章:
3
金牛座
日期:2014-06-14 22:04:062015年辞旧岁徽章
日期:2015-03-03 16:54:152015年迎新春徽章
日期:2015-03-04 09:49:45
发表于 2009-03-16 12:14 |显示全部楼层
原帖由 独孤九贱 于 2009-3-16 11:37 发表
如果只是这样,那么Ulog就是一个很现成的例子噻??简单易用,克隆后直接使用netlink发送到应用层,应用层想怎么处理就怎么理呀。哈哈。不过我最不喜欢监控别人上网聊天的行为了……



感觉我在干坏事一样

ps:九贱兄跟我还是老乡啊

论坛徽章:
0
发表于 2009-03-16 12:28 |显示全部楼层
更加不懂了,怎么个监控法?怎么个透明?能否举个例子呀??

论坛徽章:
3
金牛座
日期:2014-06-14 22:04:062015年辞旧岁徽章
日期:2015-03-03 16:54:152015年迎新春徽章
日期:2015-03-04 09:49:45
发表于 2009-03-16 12:35 |显示全部楼层
原帖由 独孤九贱 于 2009-3-16 12:28 发表
更加不懂了,怎么个监控法?怎么个透明?能否举个例子呀??


打个比方:我要做一个对应用层数据的检测,专门有一个应用层程序在处理这个检测,通常这样的例子可能是保护本机,应用层程序能实现对应用层数据的检查,这个包通常是走的协议栈上来的,连接的建立,tcp的ack等等都没有问题。
但如果是clone的包,数据包的目的地不是本地,虽然我clone了,欺骗了本地进程这就是一个发给它的包,但现在没办法绕过tcp握手机制,于是就出现了这样的问题了。
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP