本帖最后由 独孤九贱 于 2012-05-21 10:21 编辑 原贴讨论在 http://bbs.chinaunix.net/thread-3672415-2-1.html goter 在12楼已经提到过，对于错误长度的报文，tcp_error应该能够处理它。但是问题的关键在于，tcp_error计算的依据是dataoff，而这个值是上层调用传来下的，其计算在ipv4_get_l4proto函数中：[code]static int ipv4_get_l4proto(const struct sk_buff *skb, unsigned int nhoff, unsigned int *dataoff, u...

本帖最后由 妖猪祈月 于 2011-12-19 09:17 编辑 近来要搭建一个系统，第一步是要将接收到的6个包进行线性组合后生成新的6个包再转发出去，我想问下用netfilter可以做么？我是打算将包queue到用户空间处理。看了下论坛的资料，大多数都是介绍接收到一个包后如何处理，我现在需要6个包为一组地处理，不知道行么？请教下论坛里前辈！感激不尽！

大家好，我想通过netfilter统计单播包数、组播包数、广播包数、ICMP包数、ARP包数、错误包数， 1.在注册了NF_IP_PRE_ROUTING钩子后，可以通过sb->pkt_type == PACKET_BROADCAST，sb->pkt_type == PACKET_MULTICAST判别广播和组播，没有单播的类型，无法办法判断单播包数，想请教下是不是进入钩子的包总数减去单播和组播包数就是单播包数？ 2.sb->nh.iph->protocol可以处理ICMP包和TCP,UDP包；ARP包可以挂NF_ARP钩子。但是这个错误包...

请问，使用netfilter在哪能获取到原始以太包

现在要在1台服务器上对多块万兆网卡抓包，实现抓取40G流量的数据，现有dpdk和netfilter抓包两个方案，不知道哪个性能更好些？有谁做过这方面的测试吗？

若在主机B的PREROUTING钩子点截获一个A到B的skb，更改源为B目的为C，以及mac等信息，然后直接调用dev_queue_xmit(skb)发送。结果就是C返回B（syn，ack），然后B再回复C（rst）。我想问一下，B怎样在内核下构造skb，才能与C正常进行连接（不至于B总是回复rst断开连接），是需要修改skb的某些有关连接跟踪的信息吗？ 请求大家回复了，非常感谢！

遇上一个问题： 在写netfilter一个模块时， 在local_in 那个hook上捕获的sk_buff 我想取出其中的应用层数据。 各位大侠们知道怎么定位skb_buff->data 和读取数据吗？ 内核版本是2.6以上的。 已经没有 union {}h 那些结构了。 我做出来的结果是这样的： 。。。。//此部分以判断收到的包是tcp包 struct sk_buff* sb = skb_copy(skb,GFP_ATOMIC); //移动到tcp头 struct iphdr* ip_header = ip_hdr(sb); skb_pull(sb,ip_hdrlen(sb))...

kernel:2.6.31 platform：arm mem 128M busybox v1.16.2 拓扑： my -> arm platform(桥接) -> internet 问题如下： 在forward hook点上挂载hook函数，发现抓不到任何80口的tcp数据包。查看nf_conntrack，看不到任何到internet的连接. 重启系统。不挂载任何多余模块。使用tcpdump -i br0 tcp port 80 -n -vv 抓包, 但是抓不到任何过桥的包。突然发现，当我访问my 上虚拟机的httpserver时，tcpdump有反映。 ...

。。。 [ 本帖最后由 bandaotidejia 于 2009-7-29 06:22 编辑 ]

。。。\n\n[ 本帖最后由 bandaotidejia 于 2009-7-29 06:22 编辑 ]