包過濾

ruanhg

在linux系統(tǒng)里裝了個(gè)網(wǎng)站，想用NF_INET_LOCAL_IN處理訪問該網(wǎng)站的數(shù)據(jù)包，問題是在dport 80看不到任何數(shù)據(jù)。而NF_INET_LOCAL_OUT則可以實(shí)現(xiàn)包過濾，請(qǐng)問是怎么回事啊？

ruanhg

自己找到答案了：
tcph = (struct tcphdr *)(skb_network_header(skb) + ip_hdrlen(skb));
        之前一直tcph = tcp_hdr(skb);用在NF_INET_LOCAL_OUT上沒問題，但用在NF_INET_LOCAL_IN上就不行了。

Godbach

回復(fù) 2# ruanhg

對(duì)的。NF 在 LOCAL_IN 出 skb 的 data 才指向 IP hdr，就算你調(diào)用 tcp_hdr()，拿到的也應(yīng)該是 IP hdr。要取 TCP hdr，需要自己通過偏移實(shí)現(xiàn)

   

ruanhg

回復(fù) 3# Godbach

Godbach你好！打開一個(gè)網(wǎng)頁(yè)，抓包看到客戶端與服務(wù)器有很多次會(huì)話，那如何將這眾多次會(huì)話歸為一類呢？它們的共同特征在哪兒呀？
謝謝！
   

Godbach

回復(fù) 4# ruanhg

不明白你說的具體是什么。client 和 server 之間交互的是什么內(nèi)容，走的什么應(yīng)用協(xié)議，你想怎么歸類？

   

bobioo

關(guān)注中。樓主說的問題看看和我想的問題是不是一樣子的。

ruanhg

回復(fù) 6# Godbach
http協(xié)議，我打開一個(gè)網(wǎng)頁(yè)的時(shí)候同時(shí)在該網(wǎng)頁(yè)所在服務(wù)器上抓包，wireshark顯示有很多數(shù)據(jù)包，比如最初是tcp三次握手，這就是三個(gè)包，接著是客戶端發(fā)出的get請(qǐng)求，然后是服務(wù)器的80端口回給客戶端的一大堆報(bào)文。
雖然只是一次請(qǐng)求，卻包含這么多包，那如何判斷這些包都是這次請(qǐng)求的呢？

Godbach

回復(fù) 9# ruanhg

簡(jiǎn)單的判斷呢，就是一個(gè) tcp 連接。此外，http 支持 keep alive 的時(shí)候，一個(gè) TCP 連接可以傳輸多個(gè) transaction。




   

ruanhg

回復(fù) 10# Godbach


    哦,真的只有一個(gè)TCP連接嗎?可以理解成只有一個(gè)包嗎?那么我只要分析包里的內(nèi)容就可以是否放行這個(gè)TCP請(qǐng)求嗎?

Godbach

回復(fù) 11# ruanhg

感覺你的基礎(chǔ)概念都有點(diǎn)混亂啊，TCP 連接和包的概念你都清楚嗎。