Подскажите как перехватывать пакеты проходящие ч/з сетевой интерфейс?

• RE: Перехват пакетов,denb, 10:00 , 13-Ноя-02
  • RE: Перехват пакетов,SaneK, 11:44 , 13-Ноя-02
    • RE: Перехват пакетов,J, 15:44 , 13-Ноя-02
      • RE: Перехват пакетов,polkan, 17:15 , 13-Ноя-02
        • RE: Перехват пакетов,SaneK, 11:55 , 15-Ноя-02
          • RE: Перехват пакетов,SaneK, 20:42 , 18-Ноя-02
            • RE: Перехват пакетов,SaneK, 22:10 , 19-Ноя-02
              • RE: Перехват пакетов,Bob, 17:21 , 22-Ноя-02
                • RE: Перехват пакетов,SaneK, 21:43 , 22-Ноя-02
                • RE: Перехват пакетов,J, 13:03 , 26-Ноя-02
              • RE: Перехват пакетов,navigator, 11:20 , 26-Ноя-02
                • RE: Перехват пакетов,Vetal, 12:32 , 02-Дек-02
                  • RE: Перехват пакетов,Ahilles, 15:28 , 13-Дек-02
                • RE: Перехват пакетов,AlexT, 18:21 , 15-Дек-02
                • RE: Перехват пакетов,Ender, 21:08 , 21-Мрт-03
                  • по поводу LOG,John, 21:26 , 04-Дек-03

>Подскажите как перехватывать пакеты проходящие ч/з сетевой интерфейс?

tcpdump -i <твой интерфейс>
и все!

>>Подскажите как перехватывать пакеты проходящие ч/з сетевой интерфейс?
>
>tcpdump -i <твой интерфейс>
>и все!

Это то понятно. А как самому эту фишку реализовать?

>>>Подскажите как перехватывать пакеты проходящие ч/з сетевой интерфейс?
>>
>>tcpdump -i <твой интерфейс>
>>и все!
>
>
>Это то понятно. А как самому эту фишку реализовать?

libcap использовать

>>>>Подскажите как перехватывать пакеты проходящие ч/з сетевой интерфейс?
>>>
>>>tcpdump -i <твой интерфейс>
>>>и все!
>>
>>
>>Это то понятно. А как самому эту фишку реализовать?
>
>
>libcap использовать

LIBPCAP

Есть интересные статьи как раз на эту тему на www.nmap.ru
Если совсем интересно смотри исходники tcpdump он как  раз сделан на libpcap
Если интересует посылать свои сформированные пакеты, то это уже libnet
Типа все!

Тогда следующий вопрос:

Используя pcap можно ли считать траффик? И как это лучше реализовать?

Например:

.....
int total=0;
int total1=0;

int data(u_char *user,const struct pcap_pkthdr *dat,const u_char *packet)
{

total1=total1+dat->len;
total=total+dat->caplen;

return total1;
}
void main(){
....
pcap_loop(net_adapter_deskriptor,0,data,error);
....
}

Будет ли data функцией подсчета трафика? И еще не пойму разницу dat->len и dat->caplen, они всегда имеют одинаковое значение?

Если кто нибудь писал софтину считающую траффик с использованием pcap, поделитесь опытом.

Спасибо.

>Если кто нибудь писал софтину считающую траффик с использованием pcap, поделитесь опытом.
>
>
>Спасибо.

Короче я уже 4 дня этот пикап мучаю и понял одно не сделаешь ч/з него  нормальную трафико-считалку.

Всем спасибо :)

>>Если кто нибудь писал софтину считающую траффик с использованием pcap, поделитесь опытом.
>>
>>
>>Спасибо.

"Софтину" писал, но без pcap. Основную работу она (софтина) выполняет, считает входящий/исходящий трафик в байтах для всех хостов, которые ей укажет. Не хватает эстетики и оформления, но софт делал я для себя и меня все устраивает. Если интересно - могу сбросит, надо только комментарии добавить.

>>>Если кто нибудь писал софтину считающую траффик с использованием pcap, поделитесь опытом.
>>>
>>>
>>>Спасибо.
>
>"Софтину" писал, но без pcap. Основную работу она (софтина) выполняет, считает входящий/исходящий
>трафик в байтах для всех хостов, которые ей укажет. Не хватает
>эстетики и оформления, но софт делал я для себя и меня
>все устраивает. Если интересно - могу сбросит, надо только комментарии добавить.
>

Давай буду очень признателен. sanek@dzpm.ru

>>>Если кто нибудь писал софтину считающую траффик с использованием pcap, поделитесь опытом.
>>>
>>>
>>>Спасибо.
>
>"Софтину" писал, но без pcap. Основную работу она (софтина) выполняет, считает входящий/исходящий
>трафик в байтах для всех хостов, которые ей укажет. Не хватает
>эстетики и оформления, но софт делал я для себя и меня
>все устраивает. Если интересно - могу сбросит, надо только комментарии добавить.
>

можно мне тоже исходники посмотреть, если не сильно секретная вещь :-)
jegjj@netscape.net

> Короче я уже 4 дня этот пикап мучаю и понял одно
>не сделаешь ч/з него  нормальную трафико-считалку.
>
>Всем спасибо :)

Как это нельзя, ты внимательней смотри. Если тебе надо считать суммарный трафик, то реализуй это через iptables, если отдельно то напиши прогу использующую libpcap. Я себе написла такую считалку - все работает, даже поделил трафик на arp, tcp, udp, icmp.
Все данные кидаются в mysql, а потом делай с ними что хочешь. У меня сохраняются:
время поступления пакета, ип источника, мак источника, ип получателя, мак получателя, порт источника, порт получателя, тип пакета, его размер.

Если есть вопросы, то пиши сюда....

Народ, а может кто-нибудь подкинуть доку по libcap? или ссылку на источник дать?

Никто не пробовал написать сниффер используя API к OPSEC?

>
>> Короче я уже 4 дня этот пикап мучаю и понял одно
>>не сделаешь ч/з него  нормальную трафико-считалку.
>>
>>Всем спасибо :)
>
>
>Как это нельзя, ты внимательней смотри. Если тебе надо считать суммарный трафик,
>то реализуй это через iptables, если отдельно то напиши прогу использующую
>libpcap. Я себе написла такую считалку - все работает, даже поделил
>трафик на arp, tcp, udp, icmp.
>Все данные кидаются в mysql, а потом делай с ними что хочешь.
>У меня сохраняются:
>время поступления пакета, ип источника, мак источника, ип получателя, мак получателя, порт
>источника, порт получателя, тип пакета, его размер.
>
>Если есть вопросы, то пиши сюда....

Если не жалко и если не затруднит.
Нельзя ли кинуть исходнички на мыло (AlexT12@yandex.ru) Просто столкнулся с такой же задачей. Ипока в тупике :(

>
>> Короче я уже 4 дня этот пикап мучаю и понял одно
>>не сделаешь ч/з него  нормальную трафико-считалку.
>>
>>Всем спасибо :)
>
>
>Как это нельзя, ты внимательней смотри. Если тебе надо считать суммарный трафик,
>то реализуй это через iptables, если отдельно то напиши прогу использующую
>libpcap. Я себе написла такую считалку - все работает, даже поделил
>трафик на arp, tcp, udp, icmp.
>Все данные кидаются в mysql, а потом делай с ними что хочешь.
>У меня сохраняются:
>время поступления пакета, ип источника, мак источника, ип получателя, мак получателя, порт
>источника, порт получателя, тип пакета, его размер.
>
>Если есть вопросы, то пиши сюда....
интересно, не один я задался такой задачкой :)
от тока у меня прога не через pcap делает, а через iptables -j LOG и pipe, куда syslog kern.debug сбрасывает. а там как и у тебя бросает в mysql.
интересно как pcap реализовано - я сейчас занался вопросом переписать считывание с syslog'а на pcap, текстовый вывод tcpdump'а, iptables -j QUEUE, может и divert сокеты присандалю - не знаю ещё. и состряпать их всего это дело модульную штуку.
поэому меня и заинтересовала твоя софтинка :)
кинь исходники на ender#artus.ru, буду благодарен :)

.....
>>Если есть вопросы, то пиши сюда....
>интересно, не один я задался такой задачкой :)
>от тока у меня прога не через pcap делает, а через iptables
>-j LOG и pipe, куда syslog kern.debug сбрасывает. а там как
>и у тебя бросает в mysql.
.....

А при большом траффике при использование LOG
У тебя информация о пакетах не пропускалась.
Прокачал через брендмауэр 400 Мб по сети 100Мбит а после суммирования
размеров пакетов информации только на 20Мб.

При невысокой скорости в пределах 56к вроде все нормально..
Не наставите на путь истинный ???