tshark - SSH 사용자를 기반으로 네트워크 트래픽을 식별합니다.

tshark - SSH 사용자를 기반으로 네트워크 트래픽을 식별합니다.

우분투 시스템에서 네트워크 트래픽을 캡처하기 위해 tshark를 사용하고 있습니다.

iptables를 사용하여 네트워크 트래픽을 수정하는 방법이나 데이터를 생성하는 SSH 사용자(예: 양말 프록시)를 기반으로 추가 필드나 메타데이터를 추가하는 다른 방법이 있는지 알고 싶습니다.

나중에 tshark를 사용하여 해당 네트워크 트래픽을 json으로 구문 분석하므로 거기에 있는 필드를 보고 싶습니다.

답변1

SYN 시간에 iptables 및 --uuid의 LOG 대상을 사용하십시오(SSH에 대해 이야기하는 것 같습니다). 그러면 추가 정보(동일한 주소 및 포트 쌍) 없이 캡처한 나머지 패킷에 태그를 지정하기에 충분한 정보가 로그에 있게 됩니다.

다른 곳에서 캡처를 수행하려는 경우 iptables에서 패킷을 엉망으로 만들 수도 있습니다. '-m owner'를 기준으로 TOS 또는 TTL을 약간 변경해 보세요. 소수의 알려진 사용자에게 적합할 수 있습니다.

관련 정보