tshark - SSH ユーザーに基づいてネットワーク トラフィックを識別する

tshark - SSH ユーザーに基づいてネットワーク トラフィックを識別する

私は tshark を使用して Ubuntu システム上のネットワーク トラフィックをキャプチャしています。

Iptables または他の方法を使用してネットワーク トラフィックを変更し、データを生成する ssh ユーザーに基づいて追加のフィールドまたはメタデータを追加する方法 (たとえば、socks プロキシ) があるかどうかを知りたいです。

後で tshark を使用してそのネットワーク トラフィックを JSON に解析するので、そこにフィールドを表示したいと思います。

答え1

SYN 時に iptables の LOG ターゲットと --uuid を使用します (SSH について話しているようです)。そうすれば、追加情報 (同じアドレスとポートのペア) なしでキャプチャした残りのパケットにタグを付けるのに十分な情報がログに記録されます。

キャプチャを別の場所で実行する場合は、iptables でパケットを改変することもできます。たとえば、'-m owner' に基づいて TOS または TTL をわずかに変更します。既知のユーザーの小さなセットでは機能する可能性があります。

関連情報