Самый легковесный сниффер траффика

снифать и модифицировать это две разные задачи => не юникс-вей
уточняй ТЗ, и параллельно начинай сам писать

Вот системд - не юниксвей, а моя просьба еще как-то вписывается :3

Опиши задачу чётче с самого начала:
1. Ты злобный хакир, сидящий между законопослушным пользователем и его сервером.
2. ...
3. ...

Снифать tcpdump'ом. Менять с помощью tc из пакета iproute2. Комбайны «всё в одном» в линуксе не нужны и по определению не могут быть легковесными.

iptables.

http://ettercap.sourceforge.net/

пишется с помощью libpcap на коленке за час

а зачем тебе? =)

ettercap возьми и собери с минимумом опций.

ettercap

очевидно очередной защитник детей от вреда интернета

tcpdump

Я злобный хакир, я хочу собрать вундервафлю, которая будет уметь дампить траффик с определенных адресов и при необходимости заменять адрес днс сервера в днс-запросах.

А разве ипстолы умеют влезать внутрь пакетов?
Было бы неплохо сделать все на них.

Родина сказала «Надо».

Скорее всего так и придется сделать. Если в меня кинут хорошими статьями/манам, буду благодарен.

а в плане потребления ресурсов насколько такой метод(tcpdump + tc) выигрышный?

а зачем тебе? =)

топикстартер создаёт в секретном НИИ великий русский файрвол, который будет блочить ЖЖшку, фконтактек и тытрубу всем обитателям земли русской.

Нууу, формально замена полей заголовка IP-пакета подходит под твои требования.
Все что глубже должно делаться чем-то другим, да.
Ettercap, iptables+netsed. Я не хацкир, я каску на стройке нашел.

тогда вы можете спать спокойно: до тех пор, пока великие русские фаерволы будут делать студенты за еду, мир может спать спокойно.

Говорят, при скоростях в десятки гигабит и большом постоянном трафике tc даёт ощутимую нагрузку на процессор. Я такими скоростями не рулил. При максимальной пропускной способности в гигабит и загруженности канала в среднем процентов на 10, я вообще не замечал какой-либо ощутимой нагрузки на железе пятилетней давности(серверном железе, само собой). Правда, я tc использовал только для балансировки нагрузки и QoS.

С другой стороны, есть у меня под контролем антикварная машинка с 700-ым целероном и 192-мя метрами памяти. Работает шлюзом для небольшой конторы человек в десять. Пользуются они среди прочего и торрентами, и виде с интернетов смотрят. tc там шейпером служит. Тоже особой нагрузки не было. LA в среднем около 1, но это не из-за шейпера, а из-за squid'а и почтового шлюза. Специально нагружал различным трафиком по максимуму(100 мбит), чтобы убедиться, что не станет раком в один прекрасный момент. Справляется.

Ну а что касается tcpdump'а, ничего не скажу. Я не встречал такого, чтобы он хоть как-то ощутимо нагружал систему.

На самом деле, очень интересно. Надо будет попробовать.
Можно подсмотреть примеры применения?

Ну, для tcpdump'а достаточно мана. Там всё просто. Ну, простой пример. Команда tcpdump -ntpAXvvvi host linux.org.ru and tcp port 80 подробно покажет все пакеты к ЛОРу. Включая их внутренности. Или там tcpdump -ntpi eth0 tcp port 53 or udp port 53 выведет описание всех проходящие через интерфейс пакетов по 53-ему udp и tcp портам(dns всяческий). В общем, там ман хороший и с примерами.

C tc, кончено, посложнее будет. Там документации много и с наскоку разобраться не получится. Хорошим началом для изучения будет Linux Advanced Routing & Traffic Control HOWTO. Есть в сети и на русском. Опять же там примеров очень много всяких разных. Я непосредственно изменением содержимого не занимался, только в манах читал о возможности этого, поэтому мои примеры использования вряд ли будут интересны в рамках текущей задачи, потому как у меня там всякие метки пакетов, распределение ширины канала для разных типов трафика и прочий шейпинг. Для изменения пакетов можно поискать в гугле что-то типа tc filter action pedit. Я так бегло посмотрел сейчас, даже на русском что-то попадается.