[RedHat] 端口镜像用l7filter做协议分析的问题|Linux系统专区人人网,QQ空间,登陆,renren,注册,校内,刷人气

离线justinfull.

初中三年级

发帖: 2077

C币: -60720

威望: 374

贡献值: 1

银元: -6

铜钱: 4673

人人网人气币: 0

只看楼主倒序阅读使用道具楼主发表于: 2009-05-01

大侠们，问个问题
想用l7filter.做协议分析.
我在交换机上端.口镜像，被镜像的端口下.连分析机，但是包流不到分析机的iptables的链上.
有什么好的办法没有啊？

评价一下你浏览此帖子的感受

分享到 淘江湖新浪 QQ微博 QQ空间开心人人豆瓣网易微博百度鲜果白社会飞信

离线asovo.

初中三年级

发帖: 1976

C币: -139519

威望: 347

贡献值: 1

银元: -1

铜钱: 4346

人人网人气币: 0

只看该作者沙发发表于: 2010-04-13

Re:[RedHat]

把网卡设置成混杂模式试试？

离线neverbye.

初中三年级

发帖: 2058

C币: -60785

威望: 381

贡献值: 1

银元: 0

铜钱: 4567

人人网人气币: 0

只看该作者板凳发表于: 2010-04-13

Re:[RedHat]

QUOTE:原帖由 Joephy 于 2009-8-6 12:36 发表

混杂是不行的，包进协议栈的时候被丢了

白金版主觉得类似黑洞路由的方案可行么（听人说的，还没有配过）

377 /*

378  *      Main IP Receive routine.

379  */

380 int ip_rcv(struct sk_buff *skb, struct net_device *dev, struct packet_type *pt, struct net_device *orig_dev)

381 {

382         struct iphdr *iph;

383         u32 len;

384

385         /* When the interface is in promisc. mode, drop all the crap

386          * that it receives, do not try to analyse it.

387          */

388         if (skb->pkt_type == PACKET_OTHERHOST)

389                 goto drop;

390

……

……

……

432         /* Our transport medium may have padded the buffer out. Now we know it

433          * is IP we can trim to the true length of the frame.

434          * Note this now means skb->len holds ntohs(iph->tot_len).

435          */

436         if (pskb_trim_rcsum(skb, len)) {

437                 IP_INC_STATS_BH(IPSTATS_MIB_INDISCARDS);

438                 goto drop;

439         }

440

441         /* Remove any debris in the socket control block */

442         memset(IPCB(skb), 0, sizeof(struct inet_skb_parm));

443

444         return NF_HOOK(PF_INET, NF_IP_PRE_ROUTING, skb, dev, NULL,

445                        ip_rcv_finish);
复制代码
的确，IP 栈一上来就把 OTHERHOST 包丢掉了，而之后才调用的 netfilter
不知道如果修改内核代码 IP 栈的实现，能不能解决这个问题……
另外我还不了解黑洞路由的技术实现，可能帮不上你什么

[ 本帖最后由 platinum 于 2009-8-6 14:56 编辑 ]

离线xunleifilm.

初中三年级

发帖: 2062

C币: -152450

威望: 382

贡献值: 1

银元: -1

铜钱: 4740

人人网人气币: 0

只看该作者地板发表于: 2010-04-13

Re:[RedHat]

旁路分析，我这边也有，不过用的不是交换机，用的是hub（交换机不支持端口镜像）。
效果还可以。

离线八爪鱼.

初中三年级

发帖: 2055

C币: -193375

威望: 397

贡献值: 1

银元: 0

铜钱: 4633

人人网人气币: 0

只看该作者 4楼发表于: 2010-04-13

Re:[RedHat]

得配置成混杂模式，否则不接收的


	http://www.csuboy.com 访问内容超出本站范围，不能确定是否安全


	关闭您还没有登录，快捷通道只有在登录后才能使用。立即登录还没有帐号？赶紧注册一个


	关闭选中1篇全选

帖子

[问题求助][RedHat] 端口镜像用l7filter做协议分析的问题 [复制链接]