The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Перехват пакетов"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Программирование под UNIX (Public)
Изначальное сообщение [Проследить за развитием треда]

"Перехват пакетов"
Сообщение от SaneK Искать по авторуВ закладки on 12-Ноя-02, 18:34  (MSK)
Подскажите как перехватывать пакеты проходящие ч/з сетевой интерфейс?
  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "RE: Перехват пакетов"
Сообщение от denb Искать по авторуВ закладки on 13-Ноя-02, 10:00  (MSK)
>Подскажите как перехватывать пакеты проходящие ч/з сетевой интерфейс?

tcpdump -i <твой интерфейс>
и все!

  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: Перехват пакетов"
Сообщение от SaneK Искать по авторуВ закладки on 13-Ноя-02, 11:44  (MSK)
>>Подскажите как перехватывать пакеты проходящие ч/з сетевой интерфейс?
>
>tcpdump -i <твой интерфейс>
>и все!


Это то понятно. А как самому эту фишку реализовать?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: Перехват пакетов"
Сообщение от J Искать по авторуВ закладки on 13-Ноя-02, 15:44  (MSK)
>>>Подскажите как перехватывать пакеты проходящие ч/з сетевой интерфейс?
>>
>>tcpdump -i <твой интерфейс>
>>и все!
>
>
>Это то понятно. А как самому эту фишку реализовать?


libcap использовать

  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "RE: Перехват пакетов"
Сообщение от polkan Искать по авторуВ закладки on 13-Ноя-02, 17:15  (MSK)
>>>>Подскажите как перехватывать пакеты проходящие ч/з сетевой интерфейс?
>>>
>>>tcpdump -i <твой интерфейс>
>>>и все!
>>
>>
>>Это то понятно. А как самому эту фишку реализовать?
>
>
>libcap использовать

LIBPCAP

Есть интересные статьи как раз на эту тему на www.nmap.ru
Если совсем интересно смотри исходники tcpdump он как  раз сделан на libpcap
Если интересует посылать свои сформированные пакеты, то это уже libnet
Типа все!

  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "RE: Перехват пакетов"
Сообщение от SaneK Искать по авторуВ закладки on 15-Ноя-02, 11:55  (MSK)
Тогда следующий вопрос:

Используя pcap можно ли считать траффик? И как это лучше реализовать?

Например:

.....
int total=0;
int total1=0;

int data(u_char *user,const struct pcap_pkthdr *dat,const u_char *packet)
{

total1=total1+dat->len;
total=total+dat->caplen;

return total1;
}
void main(){
....
pcap_loop(net_adapter_deskriptor,0,data,error);
....
}

Будет ли data функцией подсчета трафика? И еще не пойму разницу dat->len и dat->caplen, они всегда имеют одинаковое значение?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "RE: Перехват пакетов"
Сообщение от SaneK Искать по авторуВ закладки on 18-Ноя-02, 20:42  (MSK)
Если кто нибудь писал софтину считающую траффик с использованием pcap, поделитесь опытом.

Спасибо.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "RE: Перехват пакетов"
Сообщение от SaneK Искать по авторуВ закладки on 19-Ноя-02, 22:10  (MSK)
>Если кто нибудь писал софтину считающую траффик с использованием pcap, поделитесь опытом.
>
>
>Спасибо.


Короче я уже 4 дня этот пикап мучаю и понял одно не сделаешь ч/з него  нормальную трафико-считалку.

Всем спасибо :)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "RE: Перехват пакетов"
Сообщение от Bob emailИскать по авторуВ закладки on 22-Ноя-02, 17:21  (MSK)
>>Если кто нибудь писал софтину считающую траффик с использованием pcap, поделитесь опытом.
>>
>>
>>Спасибо.

"Софтину" писал, но без pcap. Основную работу она (софтина) выполняет, считает входящий/исходящий трафик в байтах для всех хостов, которые ей укажет. Не хватает эстетики и оформления, но софт делал я для себя и меня все устраивает. Если интересно - могу сбросит, надо только комментарии добавить.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "RE: Перехват пакетов"
Сообщение от SaneK Искать по авторуВ закладки on 22-Ноя-02, 21:43  (MSK)
>>>Если кто нибудь писал софтину считающую траффик с использованием pcap, поделитесь опытом.
>>>
>>>
>>>Спасибо.
>
>"Софтину" писал, но без pcap. Основную работу она (софтина) выполняет, считает входящий/исходящий
>трафик в байтах для всех хостов, которые ей укажет. Не хватает
>эстетики и оформления, но софт делал я для себя и меня
>все устраивает. Если интересно - могу сбросит, надо только комментарии добавить.
>

Давай буду очень признателен. sanek@dzpm.ru

  Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "RE: Перехват пакетов"
Сообщение от J Искать по авторуВ закладки on 26-Ноя-02, 13:03  (MSK)
>>>Если кто нибудь писал софтину считающую траффик с использованием pcap, поделитесь опытом.
>>>
>>>
>>>Спасибо.
>
>"Софтину" писал, но без pcap. Основную работу она (софтина) выполняет, считает входящий/исходящий
>трафик в байтах для всех хостов, которые ей укажет. Не хватает
>эстетики и оформления, но софт делал я для себя и меня
>все устраивает. Если интересно - могу сбросит, надо только комментарии добавить.
>

можно мне тоже исходники посмотреть, если не сильно секретная вещь :-)
jegjj@netscape.net

  Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "RE: Перехват пакетов"
Сообщение от navigator emailИскать по авторуВ закладки on 26-Ноя-02, 11:20  (MSK)

> Короче я уже 4 дня этот пикап мучаю и понял одно
>не сделаешь ч/з него  нормальную трафико-считалку.
>
>Всем спасибо :)


Как это нельзя, ты внимательней смотри. Если тебе надо считать суммарный трафик, то реализуй это через iptables, если отдельно то напиши прогу использующую libpcap. Я себе написла такую считалку - все работает, даже поделил трафик на arp, tcp, udp, icmp.
Все данные кидаются в mysql, а потом делай с ними что хочешь. У меня сохраняются:
время поступления пакета, ип источника, мак источника, ип получателя, мак получателя, порт источника, порт получателя, тип пакета, его размер.

Если есть вопросы, то пиши сюда....

  Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "RE: Перехват пакетов"
Сообщение от Vetal emailИскать по авторуВ закладки on 02-Дек-02, 12:32  (MSK)
Народ, а может кто-нибудь подкинуть доку по libcap? или ссылку на источник дать?
  Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "RE: Перехват пакетов"
Сообщение от Ahilles emailИскать по авторуВ закладки on 13-Дек-02, 15:28  (MSK)
Никто не пробовал написать сниффер используя API к OPSEC?
  Рекомендовать в FAQ | Cообщить модератору | Наверх

14. "RE: Перехват пакетов"
Сообщение от AlexT emailИскать по авторуВ закладки on 15-Дек-02, 18:21  (MSK)
>
>> Короче я уже 4 дня этот пикап мучаю и понял одно
>>не сделаешь ч/з него  нормальную трафико-считалку.
>>
>>Всем спасибо :)
>
>
>Как это нельзя, ты внимательней смотри. Если тебе надо считать суммарный трафик,
>то реализуй это через iptables, если отдельно то напиши прогу использующую
>libpcap. Я себе написла такую считалку - все работает, даже поделил
>трафик на arp, tcp, udp, icmp.
>Все данные кидаются в mysql, а потом делай с ними что хочешь.
>У меня сохраняются:
>время поступления пакета, ип источника, мак источника, ип получателя, мак получателя, порт
>источника, порт получателя, тип пакета, его размер.
>
>Если есть вопросы, то пиши сюда....

Если не жалко и если не затруднит.
Нельзя ли кинуть исходнички на мыло (AlexT12@yandex.ru) Просто столкнулся с такой же задачей. Ипока в тупике :(

  Рекомендовать в FAQ | Cообщить модератору | Наверх

15. "RE: Перехват пакетов"
Сообщение от Ender emailИскать по авторуВ закладки on 21-Мрт-03, 21:08  (MSK)
>
>> Короче я уже 4 дня этот пикап мучаю и понял одно
>>не сделаешь ч/з него  нормальную трафико-считалку.
>>
>>Всем спасибо :)
>
>
>Как это нельзя, ты внимательней смотри. Если тебе надо считать суммарный трафик,
>то реализуй это через iptables, если отдельно то напиши прогу использующую
>libpcap. Я себе написла такую считалку - все работает, даже поделил
>трафик на arp, tcp, udp, icmp.
>Все данные кидаются в mysql, а потом делай с ними что хочешь.
>У меня сохраняются:
>время поступления пакета, ип источника, мак источника, ип получателя, мак получателя, порт
>источника, порт получателя, тип пакета, его размер.
>
>Если есть вопросы, то пиши сюда....
интересно, не один я задался такой задачкой :)
от тока у меня прога не через pcap делает, а через iptables -j LOG и pipe, куда syslog kern.debug сбрасывает. а там как и у тебя бросает в mysql.
интересно как pcap реализовано - я сейчас занался вопросом переписать считывание с syslog'а на pcap, текстовый вывод tcpdump'а, iptables -j QUEUE, может и divert сокеты присандалю - не знаю ещё. и состряпать их всего это дело модульную штуку.
поэому меня и заинтересовала твоя софтинка :)
кинь исходники на ender#artus.ru, буду благодарен :)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

16. "по поводу LOG"
Сообщение от John emailИскать по авторуВ закладки on 04-Дек-03, 21:26  (MSK)
.....
>>Если есть вопросы, то пиши сюда....
>интересно, не один я задался такой задачкой :)
>от тока у меня прога не через pcap делает, а через iptables
>-j LOG и pipe, куда syslog kern.debug сбрасывает. а там как
>и у тебя бросает в mysql.
.....

А при большом траффике при использование LOG
У тебя информация о пакетах не пропускалась.
Прокачал через брендмауэр 400 Мб по сети 100Мбит а после суммирования
размеров пакетов информации только на 20Мб.

При невысокой скорости в пределах 56к вроде все нормально..
Не наставите на путь истинный ???

  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру