当前位置：文江博客话题详情

iptables 和 libpcap

发布于 2024-07-18 12:16:49 字数 206 浏览 12 评论 0原文

我已设置规则来丢弃具有匹配字符串的 udp/tcp 数据包。然而，我的程序使用 libpcap 捕获数据包，仍然能够看到这个数据包。

为什么是这个/，在 libpcap 看到数据包之前丢弃数据包的 iptable 规则应该是什么？

无论如何，也许除了 iptables 规则之外，是否有在 libpcap/tcpdump 看到此数据包之前丢弃该数据包？

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

鹿港巷口少年归 2024-07-25 12:16:49

是的，libpcap 可以看到所有数据包。。
它们在被网络过滤器处理之前被捕获。

回复收藏 0 原文

极度宠爱 2024-07-25 12:16:49

您是否尝试更改您使用的 netfilter 挂钩的优先级？如果您尝试以最高优先级挂钩传入数据包，它将在数据包套接字内核代码之前获取数据包，这就是 libpcap 用于捕获数据包的方式。

* 我假设您使用的是 Linux *

编辑：
Libpcap 使用不同的方式来捕获数据包 - 根据操作系统。在 Linux 上，它使用数据包套接字，该套接字是使用 netfilter 框架在内核代码中实现的。

回复收藏 0 原文

辞取 2024-07-25 12:16:49

libpcap 无法在 netfilter 之前看到数据包，netfilter 是一个内核模块，它会在所有数据包到达用户模式之前对其进行处理，它甚至可以在内核看到数据包之前看到数据包。
您能解释一下吗？
libpcap 也有可能在 netfilter 上设置挂钩，覆盖 iptables 中的挂钩。真正的问题是，查看 netfilter 上设置的钩子绝非易事，而且只能在内核模式下完成。研究 libpcap 如何获取数据包。

回复收藏 0 原文

~没有更多了~