關(guān)于檢測在netfilter內(nèi)加密IP數(shù)據(jù)包的問題

xiaocainiao2011

void encskb(struct sk_buff *skb)
{
        int i = skb->tail - skb->data;
        unsigned char *data;
        data = skb->data + (skb->nh.iph->ihl * 4);
        des(1,data, i, DES_KEY);
}；  //在local_out點(diǎn)加密

void decskb(struct sk_buff *skb)
{
        int i = skb->tail - skb->data;
        unsigned char *data;
        data = skb->data +(skb->nh.iph->ihl * 4);
        des(0, data, i, DES_KEY);
}；//在local_in點(diǎn)解密

我想把網(wǎng)絡(luò)層的Ip包進(jìn)行加密，只加密ip包頭后面的數(shù)據(jù)部分。ip包頭后的數(shù)據(jù)部分加密后，截獲ip包的人應(yīng)該不能分析出是tcp，udp還是icmp等數(shù)據(jù)包
我用dmesg顯示數(shù)據(jù)包內(nèi)容是顯示的結(jié)果是加了密的

為什么我用libnids進(jìn)行捕包分析的時候，確能分析出是tcp，udp等數(shù)據(jù)包呢？哪位高手指點(diǎn)一下，感激不盡

我對libnids不是很了解，如果要驗證數(shù)據(jù)包是否在ip層位置加了密，可以有什么驗證方法嗎？

Godbach

你數(shù)據(jù)包發(fā)出去之后，在另外一端抓包看一下。
另外， 校驗和重新計算了嗎

xiaocainiao2011

回復(fù) 2# Godbach

我是在虛擬機(jī)上做的這個實(shí)驗，本機(jī)系統(tǒng)是xp，捕包是在虛擬機(jī)下進(jìn)行的，我不知道在xp下有沒有相應(yīng)的捕包程序。

我在local_out點(diǎn)加密后，試著ping一下主機(jī)的ip，不能ping通，主機(jī)沒有解密的模塊。在虛擬機(jī)里看捕的包，只有虛擬機(jī)發(fā)給主機(jī)的ip包，但也能分析出是icmp包，顯示的icmp類型和校驗和很奇怪-- 是負(fù)數(shù)，與正常ping通的不一樣。

沒加密的時候能ping通，在虛擬機(jī)里查看捕包情況的時候，虛擬機(jī)和主機(jī)都能互發(fā)ip包，能分析ip上層的是icmp包

后來發(fā)現(xiàn)ip包頭里頭有個關(guān)于協(xié)議的字段，我用的那段捕包的代碼里頭只是根據(jù)ip包頭來分析數(shù)據(jù)包的，所以能顯示上層是什么協(xié)議，然后顯示上層協(xié)議的結(jié)果很奇怪是因為分析的是加密包，顯示的結(jié)果是有問題的。

Godbach

我是在虛擬機(jī)上做的這個實(shí)驗，本機(jī)系統(tǒng)是xp，捕包是在虛擬機(jī)下進(jìn)行的，我不知道在xp下有沒有相應(yīng)的捕包程序

Wireshark 也有 XP 的版本，下載一個吧