我想转储特定应用程序的所有网络数据包(IP 数据包),然后丢弃它们(就像一个哑 NIC),这样实际上没有数据包通过 NIC。所有这些都是在没有应用程序意识的情况下完成的。(这意味着应用程序认为包发送成功,但实际上它们被丢弃了。)
我这样做是为了将转储的数据发送到另一台机器并重新发送这些包,只需稍作修改。
平台是 Linux,我认为必须有一些不错的方法来做到这一点,例如使用 iptables、netfilter 或 tap/tun。问题是倾倒和丢弃应该只针对一个应用程序进行。在这种情况下如何设置规则?
不得已的方法是修改内核并添加一些接口供应用程序调用。我希望这不是唯一的方法。
如果您可以启动该过程,则:
1) 使用 lxc (Linux Containers) 将应用程序放在它自己的网络命名空间中。您可以仅为该容器设置 netfilter 规则。哎呀,如果你愿意,你可以给应用程序它自己的 IP 地址。
/usr/bin/lxc-execute -n app_container -f my_net_lxc.conf your_application
2)正如吴指出的,您可以使用 LD_PRELOAD 覆盖标准库。只需将它指向一些包装函数,您就可以拦截来自应用程序的所有调用。
LD_PRELOAD=/usr/lib/mylib.so your_application
# See here for info: https://github.com/wh5a/ld_preload
3) 正如 Giles 指出的,您可以使用 iptables。您必须仅为该应用程序创建一个特殊用户。
# Setup: Add a user and give him some rules
adduser --shell /bin/false --no-create-home tempuser
iptables -A OUTPUT -m owner --uid-owner tempuser -j ACCEPT
# Run your app
sudo -u tempuser your_application
4) 您可以在 VM 技术下运行应用程序,例如用户模式 Linux 或 QEMMU,这为应用程序提供了一个完整的内核,您可以在多个级别上修改/控制。
如果您没有启动该进程,您仍然可以使用 ptrace 附加到该进程。这使您可以检查进程进行的每个系统调用。