LINUX.ORG.RU
ФорумAdmin

как ловить пакеты tcpdump/wireshark после того, как их обработает tcp/ip стек

 , , ,


0

1

Насколько я понимаю, tcpdump (и наверное любое приложение пользующееся PF_PACKET сокетом) собирает пакеты до того как они попадуь в TCP/IP стек.

Есть ли возможность ловить пакеты после обработки стеком? На ум приходит только iptables/netfilter правило перенаправляющее пакеты после выхода из стека приложению, но не уверен что это будет работать.

Есть ли какие-то другие способы? Спасибо.


Ответ на: комментарий от zolden

Какую задачу на самом деле ты решаешь?

У меня есть куча pcap-ов с TCP траффиком (в основном http и tls), где сами сообщения сгенерированные приложениями, сегментированы (ибо очень большие). Мне нужно их собрать воедино для дальнейшего анализа в Питоне. Погугли и понял, что в целом задача нетривиальная и потребует больше времени. Поэтому подумалось: а если «снять» этот трафик уже после того как он прошел через tcp/ip и соответсвенно сегменты будут собраны.

cruz7 ()