Estou usando o tshark para capturar o tráfego de rede em um sistema Ubuntu.
Gostaria de saber se existe uma maneira de modificar o tráfego de rede usando iptables ou algum outro método para adicionar campos ou metadados adicionais com base no usuário ssh que gera os dados (por exemplo, proxy de meias).
Posteriormente, estou analisando o tráfego de rede em json usando tshark, então gostaria de ver o campo lá.
Responder1
Use o alvo LOG de iptables e --uuid no horário SYN (parece que você está falando sobre SSH). Você teria então informações suficientes no log para marcar o restante dos pacotes capturados sem essas informações adicionais (mesmo par de endereços e portas).
Você também pode alterar os pacotes no iptables se for fazer a captura em outro lugar. Digamos, altere ligeiramente o TOS ou TTL com base em '-m proprietário'. Pode funcionar para um pequeno conjunto de usuários conhecidos.