关于检测在netfilter内加密IP数据包的问题

xiaocainiao2011

void encskb(struct sk_buff *skb)
{
        int i = skb->tail - skb->data;
        unsigned char *data;
        data = skb->data + (skb->nh.iph->ihl * 4);
        des(1,data, i, DES_KEY);
}；  //在local_out点加密

void decskb(struct sk_buff *skb)
{
        int i = skb->tail - skb->data;
        unsigned char *data;
        data = skb->data +(skb->nh.iph->ihl * 4);
        des(0, data, i, DES_KEY);
}；//在local_in点解密

我想把网络层的Ip包进行加密，只加密ip包头后面的数据部分。ip包头后的数据部分加密后，截获ip包的人应该不能分析出是tcp，udp还是icmp等数据包
我用dmesg显示数据包内容是显示的结果是加了密的

为什么我用libnids进行捕包分析的时候，确能分析出是tcp，udp等数据包呢？哪位高手指点一下，感激不尽

我对libnids不是很了解，如果要验证数据包是否在ip层位置加了密，可以有什么验证方法吗？

Godbach

你数据包发出去之后，在另外一端抓包看一下。
另外， 校验和重新计算了吗

xiaocainiao2011

回复 2# Godbach

我是在虚拟机上做的这个实验，本机系统是xp，捕包是在虚拟机下进行的，我不知道在xp下有没有相应的捕包程序。

我在local_out点加密后，试着ping一下主机的ip，不能ping通，主机没有解密的模块。在虚拟机里看捕的包，只有虚拟机发给主机的ip包，但也能分析出是icmp包，显示的icmp类型和校验和很奇怪-- 是负数，与正常ping通的不一样。

没加密的时候能ping通，在虚拟机里查看捕包情况的时候，虚拟机和主机都能互发ip包，能分析ip上层的是icmp包

后来发现ip包头里头有个关于协议的字段，我用的那段捕包的代码里头只是根据ip包头来分析数据包的，所以能显示上层是什么协议，然后显示上层协议的结果很奇怪是因为分析的是加密包，显示的结果是有问题的。

Godbach

我是在虚拟机上做的这个实验，本机系统是xp，捕包是在虚拟机下进行的，我不知道在xp下有没有相应的捕包程序

Wireshark 也有 XP 的版本，下载一个吧