iptables und libpcap
https://stackoverflow.com/questions/829455
-
06-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
ich habe Regelsatz bis zu UDP / TCP-Paketen mit passenden Saiten fallen. aber mein Programm, das Paket mit libpcap einfängt, ist noch in der Lage, dieses Paket zu sehen.
Warum ist das /, was sollte die iptable Regeln sein, Pakete fallen zu lassen, bevor es von libpcap gesehen?
Gibt es trotzdem, vielleicht auch andere als iptables-Regeln, um dieses Paket zu löschen, bevor es von libpcap / tcpdump zu sehen ist?
Lösung
Ja, sieht libpcap alle Pakete. . Sie werden vor der netfilter verarbeitet erfasst werden wird.
Andere Tipps
Haben Sie versucht, die Priorität des Netfilter Hook zu ändern, die Sie verwenden? wenn Sie mit der höchsten Priorität für eingehende Pakete versuchen, Einhaken, wird es das Paket, bevor das Paket Socket-Kernel-Code bekommen, das ist die Art und Weise libpcap verwendet, um Pakete zu erfassen.
* Ich nehme an, Sie Linux verwenden *
EDIT: Libpcap nutzt verschiedene Arten Pakete zu erfassen - entsprechend dem Betriebssystem. auf Linux verwendet es Paket-Buchse, die im Kernel-Code mit dem Netfilter-Framework implementiert wird.
Es gibt keinen Weg für libpcap die Pakete vor dem netfilter, um zu sehen, netfilter ist ein Kernel-Modul und verarbeitet alle Pakete, bevor sie Benutzermodus getroffen, es kann sogar die Pakete sehen, bevor der Kernel es sieht. Könnten Sie erklären, weiter erklären? Es ist möglich, dass libpcap auch Haken auf netfilter Einstellung, die die eine in iptables überschreibt. Das eigentliche Problem ist, dass suchen und welche Haken auf netfilter gesetzt alles andere als trivial ist, und kann nur im Kernel-Modus ausgeführt werden. Untersuchen, wie libpcap die Pakete erhält.
