Estoy usando tshark para capturar el tráfico de red en un sistema Ubuntu.
Me gustaría saber si hay alguna manera de modificar el tráfico de red usando iptables o algún otro método para agregar campos o metadatos adicionales según el usuario ssh que genera los datos (por ejemplo, el proxy de calcetines).
Más tarde analizaré ese tráfico de red en json usando tshark, por lo que me gustaría ver el campo allí.
Respuesta1
Utilice el objetivo LOG de iptables y --uuid en el momento SYN (parece que está hablando de SSH). Entonces tendría suficiente información en el registro para etiquetar el resto de los paquetes que capturó sin esa información adicional (el mismo par de direcciones y puertos).
También puede alterar los paquetes en iptables si va a realizar la captura en otro lugar. Digamos, cambie ligeramente los TOS o TTL según '-m propietario'. Podría funcionar para un pequeño grupo de usuarios conocidos.