請問那個大神可以告訴小弟，看連接跟蹤的代碼，從哪里入手。

linux_sjj

回復 20# nswcfd
你好！非常謝謝你。領導是讓在用戶態(tài)模擬一個連接跟蹤，然后組合數(shù)據(jù)包，在將其中html，jpg，js等下載下來。但是我始終想不通，我就算是用個鏈表把讀來的五元組，都存在鏈表里面（感覺沒什么意義啊，就是只有源ip，目的ip，協(xié)議，源端口，目的端口），我繼續(xù)讀取包的時候，繼續(xù)往里面添加五元組，可是我包讀完了，鏈表里面也只是存在一個五元組的鏈表，這個沒有什么意義啊。每個包里面的內(nèi)容也不會存在鏈表里面。

   

Godbach

回復 21# linux_sjj

按照你領導的要求，你是肯定要存儲內(nèi)容的。之所以讓你用連接跟蹤，其實就是要有 session 的了邏輯。比如你收到一個報文，里面有數(shù)據(jù)，你怎么知道這是誰的數(shù)據(jù)，OK，找到他對應的 session，然后就知道這段數(shù)據(jù)該怎么保存了。


   

linux_sjj

回復 22# Godbach


   你說的這個會話是指什么，我不就是存了個五元組嘛，來了一個報文，我把五元組存在鏈表里面，我也沒有存取這個報文的內(nèi)容，之后，就算再來這個會話，也只是查找了一下鏈表存不存在這個五元組，不存在加上，存在的話直接跳過，沒什么實際作用啊。沒有你說的還能去查找會話內(nèi)容這一說啊

Godbach

回復 23# linux_sjj

session 可以理解為 conntrack 的概念。

你要知道你用 五元組是干嘛的。你最終不是為了讀取里面的數(shù)據(jù)嗎。


   

Godbach

回復 23# linux_sjj

你只要五元組，不需要內(nèi)容嗎。

單獨保存五元組，其他信息不保存，夠你實際的需要嗎？



   

linux_sjj

回復 25# Godbach


    我的所有wireshark捕捉到的包，不都是類似于這個圖片上的內(nèi)容，這樣一個傳輸?shù)慕�立之后，所有�?nèi)容都放一起嗎。

Godbach

回復 26# linux_sjj

LZ，你先扎實的了解一下一些 kernel 網(wǎng)絡方面的基礎吧，比如最核心的 skb 結(jié)構等等。


   

nswcfd

基于會話分析內(nèi)容有兩大流派：
A。 把連接的報文全部拼接/緩存起來，作為一個整體去分析。
B。 逐包分析，不斷更新狀態(tài)，所謂的流式引擎。
有點像當年的DOM和SAX

nswcfd

對于保存html/jpg這個任務來說，需要在http header包里分析出content-type/content-length，記錄文件名，類型，長度（這都是保存在session上的狀態(tài)，不僅是五元組）。
然后對于后續(xù)報文（假設沒有tcp亂序\丟包發(fā)生），不斷追加文件，直到剩余長度（也是狀態(tài)）小于等于0為止。

_nosay

回復 26# linux_sjj


協(xié)議分層的，把每一層的頭去掉了，就是你要的應用數(shù)據(jù)，這些數(shù)據(jù)拼起來就得到你要的文件了，關于怎么拼，這些文件是什么后綴，要看你是從頭到尾到自己實現(xiàn)還是底層用第三方庫吧，你要知道進入你程序的數(shù)據(jù)是哪一層協(xié)議的數(shù)據(jù)。
可以先用pcap庫的接口，看看官網(wǎng)的示例，試著從一個pcap文件中“抓”出來文件，有個感性的認識，然后再去考慮怎么寫你的程序。如果你能自己從網(wǎng)卡獲取數(shù)據(jù)，并且支持主流協(xié)議解析，最終放到一個大的網(wǎng)關上抓文件，效率和正確性都沒問題，你一定很收獲到很多很多東西，加油吧。