Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
我一直在写一个简单的嗅探器工具。我开始使用 libpcap,但后来意识到跟踪 TCP 流信息会很有用,所以我开始阅读并尝试使用 libnids。
这是一个很棒的工具,但是如果它没有见证某个流的 TCP 握手(SYN、SYN/ACK、ACK),它就不会在其内部的流哈希表中创建新记录。因此,除非我在握手发生之前启动嗅探器,否则我将无法看到大量数据。文档有点缺乏。有谁知道是否有可能绕过这个限制?
好的,经过一番深入的谷歌搜索后,我想我想通了,对于任何可能感兴趣的人。
libnids 旨在模拟 Linux 内核的网络堆栈,因此从这个角度来看,为尚未握手的流量制作表是没有意义的。唯一的解决方案是使用 tcpkill 之类的东西来强制进行新的握手。