ip стек

0

1

Насколько я понимаю, tcpdump (и наверное любое приложение пользующееся PF_PACKET сокетом) собирает пакеты до того как они попадуь в TCP/IP стек.

Есть ли возможность ловить пакеты после обработки стеком? На ум приходит только iptables/netfilter правило перенаправляющее пакеты после выхода из стека приложению, но не уверен что это будет работать.

Есть ли какие-то другие способы? Спасибо.

Ссылка

←	kvm, проброс портов до вебсервера с серыми адресами.

Не отрабатывает скрипт через Cron

→

Что в твоём понимании значит «после обработки стеком»? Какой отличающийся от нынешнего результат ты ожидаешь увидеть?

Harald ★★★★★
(28.02.20 19:47:07 MSK)

До того, как они попадут в TCP/IP стек - это не пакеты, это просто поток данных. А стек как раз нарезает его на пакеты.

unicorne ★
(28.02.20 19:53:04 MSK)

Ссылка

Ответ на: комментарий от Harald 28.02.20 19:47:07 MSK

Например, увидеть собранные tcp сегменты.

cruz7 ★★
(28.02.20 20:00:34 MSK) автор топика

Ответ на: комментарий от cruz7 28.02.20 20:00:34 MSK

wireshark это умеет

Harald ★★★★★
(28.02.20 20:19:16 MSK)

Ответ на: комментарий от Harald 28.02.20 20:19:16 MSK

Wireshark умеет собрать сам. А автор хочет видимо посмотреть как с этим справилось ядро. Но к пакетам как таковым это мало относится.

pon4ik ★★★★★
(28.02.20 20:20:50 MSK)

Ссылка

Ответ на: комментарий от Harald 28.02.20 20:19:16 MSK

wireshark это умеет

Я знаю что wireshark умеет, но мне хочется получить pcap с уже собранными сегментами. Если конечно это осуществимо.

cruz7 ★★
(28.02.20 21:14:50 MSK) автор топика

Какую задачу на самом деле ты решаешь?

zolden ★★★★★
(28.02.20 21:19:06 MSK)

Ответ на: комментарий от cruz7 28.02.20 21:14:50 MSK

В принципе, ты можешь прицепиться к приложению через ptrace и смотреть, какие данные оно получает/отправляет через сокет. Но это будет уже не pcap.

unicorne ★
(28.02.20 21:23:38 MSK)

Ссылка

Как ловить пакеты не знаю, а вот ловить наркоманов приходилось.

anonymous
(28.02.20 22:38:40 MSK)

Ссылка

Ответ на: комментарий от zolden 28.02.20 21:19:06 MSK

Какую задачу на самом деле ты решаешь?

У меня есть куча pcap-ов с TCP траффиком (в основном http и tls), где сами сообщения сгенерированные приложениями, сегментированы (ибо очень большие). Мне нужно их собрать воедино для дальнейшего анализа в Питоне. Погугли и понял, что в целом задача нетривиальная и потребует больше времени. Поэтому подумалось: а если «снять» этот трафик уже после того как он прошел через tcp/ip и соответсвенно сегменты будут собраны.

cruz7 ★★
(28.02.20 23:54:55 MSK) автор топика