问题:
我想知道怎样获得IP包的信息,有获取IP包的函数吗?
1.linux(unix)下:libpcap
windows下:winpcap(libpcap在windows上的移植)或写windows ddk
2.防火墙是不能通过libpcap这样的东西来做的,libpcap是复制包,其实
业就是旁路,而不是在包的转发过程中进行一些处理,所以是不能作为防火墙的
获取方式的,但是可以作为IDS获取数据的方式。
我不知道我说明白了没有,说得再通俗一些,就是libpcap是从原来包转发
的通道上把包给复制一份,然后把这个复制的包放到其他的旁路上去,而原来的
在主干上的包不受影响。
对于fw这样的处在网关的关键设备,我们必须有一个办法把数据包在主干上
就截获,然后对截获的包进行一些检查和处理(这个过程是最复杂,也是最重要、
最根本的),然后对处理完了的包接着进行转发或者丢弃。对于检查和出来这个过
程来说,实际上就是一些规则的匹配等等。
关于防火墙的实现机制,大家可以看看ipchains/ipfilter等等,我感觉
ipfilter的方式比较好一些。
3. 可以通过google去网上search,有很多资料的。
ipfilter的网址是http://coombs.anu.edu.au/ipfilter
ipchains的资料在网上有很多的
iptable的资料也有很多,你还可以看看ipfw。
我想知道怎样获得IP包的信息,有获取IP包的函数吗?
1.linux(unix)下:libpcap
windows下:winpcap(libpcap在windows上的移植)或写windows ddk
2.防火墙是不能通过libpcap这样的东西来做的,libpcap是复制包,其实
业就是旁路,而不是在包的转发过程中进行一些处理,所以是不能作为防火墙的
获取方式的,但是可以作为IDS获取数据的方式。
我不知道我说明白了没有,说得再通俗一些,就是libpcap是从原来包转发
的通道上把包给复制一份,然后把这个复制的包放到其他的旁路上去,而原来的
在主干上的包不受影响。
对于fw这样的处在网关的关键设备,我们必须有一个办法把数据包在主干上
就截获,然后对截获的包进行一些检查和处理(这个过程是最复杂,也是最重要、
最根本的),然后对处理完了的包接着进行转发或者丢弃。对于检查和出来这个过
程来说,实际上就是一些规则的匹配等等。
关于防火墙的实现机制,大家可以看看ipchains/ipfilter等等,我感觉
ipfilter的方式比较好一些。
3. 可以通过google去网上search,有很多资料的。
ipfilter的网址是http://coombs.anu.edu.au/ipfilter
ipchains的资料在网上有很多的
iptable的资料也有很多,你还可以看看ipfw。