我正在使用 tshark 捕獲 ubuntu 系統上的網路流量。
我想知道是否有一種方法可以使用 iptables 或其他方法來修改網路流量,以根據生成資料的 ssh 用戶(例如,socks 代理程式)添加其他欄位或元資料。
我稍後使用 tshark 將該網路流量解析為 json,所以我想看到那裡的欄位。
答案1
在SYN時使用iptables和--uuid的LOG目標(看起來你在談論SSH)。然後,您將在日誌中獲得足夠的資訊來標記您捕獲的其餘資料包,而無需附加資訊(同一對位址和連接埠)。
如果您要在其他地方進行捕獲,您還可以破壞 iptables 中的資料包。比如說,根據“-m Owner”稍微更改 TOS 或 TTL。它可能適用於一小部分已知用戶。