Я использую tshark для захвата сетевого трафика в системе Ubuntu.
Я хотел бы узнать, есть ли способ изменить сетевой трафик с помощью iptables или какого-либо другого метода для добавления дополнительных полей или метаданных на основе пользователя ssh, генерирующего данные (например, socks proxy).
Позже я преобразую этот сетевой трафик в json с помощью tshark, поэтому мне хотелось бы увидеть это поле там.
решение1
Используйте цель LOG iptables и --uuid во время SYN (кажется, вы говорите о SSH). Тогда у вас будет достаточно информации в журнале, чтобы пометить остальные пакеты, которые вы захватили без этой дополнительной информации (та же пара адресов и портов).
Вы также можете исказить пакеты в iptables, если собираетесь делать захват где-то еще. Например, немного изменить TOS или TTL на основе '-m owner'. Это может сработать для небольшого набора известных пользователей.