Ich verwende Tshark, um Netzwerkverkehr auf einem Ubuntu-System zu erfassen.
Ich würde gerne wissen, ob es eine Möglichkeit gibt, den Netzwerkverkehr mithilfe von iptables oder einer anderen Methode zu ändern, um basierend auf dem SSH-Benutzer, der die Daten generiert (z. B. SOCKS-Proxy), zusätzliche Felder oder Metadaten hinzuzufügen.
Ich analysiere den Netzwerkverkehr später mit Tshark in JSON, daher möchte ich das Feld dort sehen.
Antwort1
Verwenden Sie das LOG-Ziel von iptables und --uuid zur SYN-Zeit (anscheinend sprechen Sie von SSH). Sie hätten dann genügend Informationen im Protokoll, um den Rest der Pakete zu markieren, die Sie ohne diese zusätzlichen Informationen erfasst haben (dasselbe Paar von Adressen und Ports).
Sie können die Pakete auch in iptables manipulieren, wenn Sie die Erfassung woanders durchführen möchten. Ändern Sie beispielsweise die TOS oder TTL leicht basierend auf „-m Besitzer“. Dies könnte für eine kleine Gruppe bekannter Benutzer funktionieren.