3
我一直在編寫一個簡單的嗅探器工具。我開始使用libpcap,但後來意識到跟蹤TCP流信息會很有用,所以我開始閱讀並嘗試使用libnids。使用libnids捕獲和組裝TCP流
這是一個很好的工具,但是如果它沒有見證某個流的TCP握手(SYN,SYN/ACK,ACK),它不會在其內部散列表中創建新記錄。因此,除非在握手之前啓動嗅探器,否則我將無法看到大量數據。文件有點欠缺。有誰知道是否有可能解決這個限制?
A
回答
3
好的,所以經過一番深入的谷歌搜索後,我想我已經知道了,對於任何可能感興趣的人來說。
libnids被設計爲模擬Linux內核的網絡堆棧,因此從這個角度來看,它沒有意義爲沒有握手的流量創建表。唯一的解決方案是使用像tcpkill這樣的東西強制進行新的握手。
相關問題
- 1. 捕獲TCP數據包流
- 2. libnids沒有捕獲xmpp數據包
- 3. 編譯使用libnids
- 4. 使用Adobe AIR捕獲和流視頻
- 5. 我可以使用什麼捕獲過濾器來捕獲tshark命令行界面中的TCP和UDP流量?
- 6. TCP捕獲+編輯
- 7. 捕獲和編輯TCP/UDP數據包
- 8. 使用$ .ajax()和jQuery 1.4.3捕獲TCP拒絕錯誤
- 9. 捕獲TCP SYNC事件
- 10. 捕獲流
- 11. 如何捕獲僅TCP流量與tshark的
- 12. 如何在WireShark中捕獲傳入的TCP流?
- 13. 使用ffmpeg解碼TCP流
- 14. 使用scapy查找tcp流
- 15. 使用C++從MJPEG流捕獲視頻
- 16. 使用FFmpeg捕獲視頻流
- 17. 重播使用tcpreplay捕獲的流量
- 18. 使用C/C++捕獲視頻流
- 19. 使用Fiddler捕獲程序的流量
- 20. PHP寫數組TCP流
- 21. 通過libnids使用multiproc時無法獲取數據
- 22. Sqlmap流量捕獲
- 23. 用findall捕獲組?
- 24. 使用LFLiveKit捕獲屏幕和流到rtmp服務器
- 25. 如何使用Android Studio 2.1和Charles代理捕獲http流量?
- 26. 我如何使用張量流從音頻捕獲mfcc和spectral_contrast
- 27. 重新組裝的TCP段
- 28. Libnids 64位系統
- 29. 流的通用IDisposable包裝 - 替代捕獲所有的異常
- 30. 捕獲組VS未捕獲組
嗨Caleb,我使用pynids從pcaps和網絡流量抓取流。我遇到了pynids/libnids無法看到包含半開放流的pcap的tcp流的情況。我認爲這是固定在libnids 1.21,但顯然不是。 35 35 012 012 012 012請詳細說明如何在tcp回調從未被觸發的情況下觸發連接? – fimz 2011-05-10 22:39:31
嗨fimz,FYI我認爲堆棧溢出鼓勵提出一個新的問題,而不是這個。如果a。)TCP握手被證實,則TCP回調將僅被調用。b)數據是在您指定要在(a)中跟蹤的TCP連接發送的,或c。)您指定跟蹤的TCP連接已關閉在一個)。我發現你可以使用tcpkill來斷開你想讓libnids獲取的連接 - 所以如果你知道你想要殺死什麼連接,配置tcpkill來殺死它,並且連接應該重新握手,並且從那時起NIDS將會選擇它起來。我使用了dsniff – 2011-05-11 04:18:01
附帶的tcpkill,實際上,最新的libnids帶有一個非常好的補丁,可以讓您跟蹤未建立的TCP連接。你必須應用它並自己編譯它。我認爲這將是更好的解決方案 – 2011-05-11 04:19:44