libpcap可以写防火墙吗?

ryangecko

用pf-ring倒是可以在内核里用他里的filter插件倒是可以

solu

platinum 发表于 2011-04-08 12:08
我只知道如果是和本地 application 通信的可以，转发的可能没戏

你好， 不是说libpcap操作的只是包的copy吗？ 对实际的通讯包是没有影响的， 那他怎么做过滤器？ 这样岂不是对原始包有影响了吗 ？

platinum

solu 发表于 2013-04-28 09:42
你好， 不是说libpcap操作的只是包的copy吗？ 对实际的通讯包是没有影响的， 那他怎么做过滤器？ 这样岂 ...

见 8 楼

gpstrive

回复 8# platinum
我研究了一下你发的这两个链接，这里面的包过滤都是针对复制包的，
libpcap的包过滤都是针对复制包，有兴趣可以看下libpcap的工作原理
http://recursos.aldabaknocking.c ... uisMartinGarcia.pdf

这也意味着，单纯通过libpcap来做防火墙是不可行的。


   

瀚海书香

回复 14# gpstrive

这也意味着，单纯通过libpcap来做防火墙是不可行的。

这个对tcp协议是可以的。
比如通过libpcap抓包发现，有一个tcp数据流存在问题，那么只需要向源或者目的发一个RST，那么这个链接就会关闭，达到了防火墙的功能。

gpstrive

回复 15# 瀚海书香


    恩，同意。

cpu_auxiliary

我的理解是，可以抓到网卡上的流量，但是内核给转发的一份，不走网络协议栈，所以通常用来分析流量，虽然可以在tcp上做劫持，并不可靠，容易漏包，如果要做很严密的包控制，还是要像netfilter那样在内核层的协议栈上做钩子来处理报文。