4

私は単純なスニファーツールを書いています。私は libpcap から始めましたが、TCP ストリーム情報を追跡することが有用であることに気づき、libnid について読み、実験するようになりました。

これは優れたツールですが、特定のストリームの TCP ハンドシェイク (SYN、SYN/ACK、ACK) を目撃しない場合、ストリームの内部ハッシュ テーブルに新しいレコードを作成しません。その結果、ハンドシェイクが発生する前にスニファを開始しない限り、多くのデータを表示できません。ドキュメントが少し不足しています。この制限を回避できるかどうかは誰にもわかりませんか?

4

1 に答える 1

4

わかりましたので、興味があるかもしれない人のために、いくつかの深いグーグル検索の後、私はこれを理解したと思います.

libnids は Linux カーネルのネットワーク スタックをエミュレートするように設計されているため、この観点から見ると、ハンドシェイクされていないトラフィックのテーブルを作成しても意味がありません。唯一の解決策は、tcpkill などを使用して新しいハンドシェイクを強制することです。

于 2010-10-26T06:32:02.760 に答える