我一直在写一个简单的嗅探器工具。我从libpcap开始,但后来意识到跟踪TCP流信息会很有用,所以我开始阅读和试验libnids。
这是一个很棒的工具,但如果它没有见到特定流的TCP握手(SYN,SYN / ACK,ACK),它就不会在其内部流表中创建新记录。因此,除非在握手发生之前启动嗅探器,否则我将无法看到大量数据。文档有点缺乏。有谁知道是否有可能绕过这个限制?
答案 0 :(得分:3)
好的,所以经过一些深入的谷歌搜索,我想我已经想到了这一点,对于任何可能感兴趣的人。
libnids旨在模拟Linux内核的网络堆栈,因此从这个角度来看,为没有动手的流量制作表是没有意义的。唯一的解决方案是使用tcpkill之类的东西来强制进行新的握手。