netfilter是否可以截获大包。

zengrui0342

想问下netfilter是否可以截获重组后的TCP包？

看前辈们写的教程，应该是可以的阿？

但我在实际操作中截获到的包都是1500一下的，就是没有重组的，

如果可以，如何实现？

Godbach

原帖由 zengrui0342 于 2008-10-7 12:31 发表
想问下netfilter是否可以截获重组后的TCP包？

看前辈们写的教程，应该是可以的阿？

但我在实际操作中截获到的包都是1500一下的，就是没有重组的，

如果可以，如何实现？

NF中你用的是哪个Hook点，另外，还需要确定一下数据包重组的动作是在哪里执行的。如果你抓得包是还没经过重组，那么肯定只能是1500的了

qtdszws

似乎lz认为重组后的TCP包就会大于1500,实际上linux的tcp段都小于1500,除非通过特殊的方法，绕过MSS限制

zengrui0342

linux的tcp段是指什么？

比如一个网页，将HTTP包获得后重组成一个网页，这个过程是浏览器完成的吗？

在数据包发送阶段，netfilter有个NF_IP_LOCAL_OUT这个挂载点不是在将包分解之前吗？

是否意为着在NF_IP_LOCAL_OUT点截获出去的数据包就是大包呢？

如果是，那么在数据包接收阶段，也应该存在这个状态，是在哪一层？

看过有文章写的是在IP层的ip_rcv()函数中处理，那么NF_IP_PRE_ROUTING应该是大包阿？

但实际中所截获的包都是小于1500的。

qtdszws

感觉你有许多概念和过程都没有搞清楚啊

>>linux的tcp段是指什么？

晕，这个也不知道？tcp的数据称为段

>>比如一个网页，将HTTP包获得后重组成一个网页，这个过程是浏览器完成的吗？

一般没有重组，只有按序读取

>>在数据包发送阶段，netfilter有个NF_IP_LOCAL_OUT这个挂载点不是在将包分解之前吗？

不一定,UDP就不是

>>是否意为着在NF_IP_LOCAL_OUT点截获出去的数据包就是大包呢？

已经分片，一般都不会


>>看过有文章写的是在IP层的ip_rcv()函数中处理，那么NF_IP_PRE_ROUTING应该是大包阿？但实际中所截获的包都是小于1500的。

NF_IP_PRE_ROUTING时包未重组，怎么会大于1500呢？

只有在NF_IP_LOCAL_IN中有重组后的TCP段或UDP包，

还有如果开启conntrack,NF_IP_PRE_ROUTING链中优先级在NF_IP_PRI_CONNTRACK后的钩子也可以获得重组后的包，以及NF_IP_FORWARD任意的钩子和NF_IP_POST_ROUTING中优先级先于NF_IP_PRI_LAST的钩子也可以

[ 本帖最后由 qtdszws 于 2008-10-8 12:47 编辑 ]

qtdszws

理论上ip可以将一个大TCP段和UDP包分片，然后重组。但在linux的实现中发送端发的TCP段的都不被分片，即tcp段都小于1500，UDP是可以发送超过1500大包。当然也可以绕过系统自己发送大TCP段让ip层去分片，不过技术难度大。

[ 本帖最后由 qtdszws 于 2008-10-8 12:48 编辑 ]

zengrui0342

好的，谢谢指教。。

接触TCP/IP开发才一个多月，嘿嘿。。

继续努力。。