Question

Я пишу простой инструмент анализатора. Я начал с libpcap, но потом понял, что было бы полезно отслеживать информацию о TCP-потоке, поэтому я начал читать и экспериментировать с libnids.

Это отличный инструмент, однако он не создает новую запись в своей внутренней хэш-таблице потоков, если он не является свидетелем TCP-рукопожатия (SYN, SYN / ACK, ACK) определенного потока. В результате я не смог бы увидеть много данных, если бы не начал анализатор до того, как произойдет рукопожатие. Документация немного отсутствует. Кто-нибудь знает, возможно ли обойти это ограничение?

Caleb Hearon · Answer 1 · 26 октября 2010

Хорошо, так что после некоторого глубокого поиска в Google, я думаю, я понял это для всех, кому это может быть интересно.

libnids был разработан для эмуляции сетевого стека ядра Linux, поэтому, рассматривая его с этой точки зрения, не имело бы смысла создавать таблицы для трафика, который не был рукопожатием. Единственное решение - использовать что-то вроде tcpkill для запуска нового рукопожатия.

Захват и сборка потоков TCP с помощью libnids

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Захват и сборка потоков TCP с помощью libnids

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы