Отслеживание последовательности пакетов

У apt есть история, можешь по ней отслеживать вообще все изменения.

Будьте добры поподробнее. Я не совсем понимаю о чём идёт речь:)

Apt пишет историю всех манипуляций с пакетами. Какие ставил, какие удалял, какие обновлял.

ОП про UDP пакеты, а не про менеджер пакетов

А, тьфу ты. Не заметил.

Я думал это тонкий троллинг такой. Хотел уже написать про многозначность термина «пакет». Автору нужно осознать разницу между TCP и UDP. Потом прочитать про TCP Sequence Number. После этого станет понятно почему номеров пакетов в UDP нет (но они могут быть в инкапсулированных протоколах более высокого уровня, например SIP).

Ув. Mike_RM. Я знаю разницу между TCP и UDP. Я написал, что пакет нумеруется в поле данных 'data'. На самом высоком уровне. В данный момент сетевой уровень вообще не причем.

Ты темнишь с описанием того, что конкретно тебе нужно, но возможно это divert sockets. Если ты майор, то скажи сразу, чтобы тебя публично забанили. Ты майор? Говори.

Есть ли возможность сравнивать текущий пакет с предыдущим?

Есть. Достаточно подробный ответ?

имхо исчерпывающий ответ.

Поделитесь, пожалуйста, возможностью сравнивать пакеты. Буду очень благодарен! Много сайтов перелазил, пока ничего не нашёл.

Вы ошиблись, я не майор.

Сохраняешь пакет в память, сравниваешь

Суть: Есть ли возможность сравнивать текущий пакет с предыдущим?

Есть

Не подскажите такую возможность? Желательно, чтобы пакеты проверялись до того, как дойдут до приложения. Спасибо.

Желательно, чтобы пакеты проверялись до того, как дойдут до приложения. Спасибо.

в исходном посте этого не было

Поправил

чтобы пакеты проверялись до того, как дойдут до приложения.

Перехватывать другим приложением, переотправлять нужному

Например: Поступил пакет, его направить в приложение проверки, а то приложение уже переотправит этот пакет нужному?

Если есть возможность поменять порт, который слушает «нужное» приложение, то все просто, если нет, то нужно сделать правило в iptables, которое будет перенаправлять пакет на приложение проверки. Вы задаете вопрос странным образом, минимум информации, попросили пример, но не указали язык программирования.

Исправил. Меня более интересует реализация этого через IPTables. С перенаправлением пакета понятно, но вот реализация проверки в IPTables - нет. И ещё, если можете помочь, то как проверить длину самого поле данных? не всего пакета, а именно «data». Спасибо за ваши ответы!

Если знаком с программированием на С, то самое простое решение - иcпользование «iptables -j NFQUEUE» ( в userspace делай что хочешь с ним ).

В самом iptables можно сравнивать только со статическими данными. Сравнение со значением из предыдущих пакетов - это совсем не просто.

Понимаю... Можете помочь со следующим вопросом.. Интересует проверка первых 16 бит пакета в поле данных «data». Например 14 первых битов могут изменятся, а два последних нет...

Структура пакета udp/ipv4 описана в любом учебнике.

Просто проверка первых 16 бит данных udp пакета легко делается в iptables при помощи u32 либо при помощи bpf

Подробности и примеры в man iptables-extensions :)

К сожалению.. не могу освоить u32, нигде не нашёл понятной для себя литературы про этот классификатор. Может дадите статейку или учебник какой, я бы с радостью освоил!

Насколько я понимаю.. u32 может искать совпадения в заголовках пакетов, а не в поле данных

man iptables-extensions про u32 ты не прочитал. Лентяй!

Да, u32 не простой в понимании, но статей на эту тему достаточно.

Не осилил u32, тогда используй bpf.

В мане есть пример, да и на ЛОРе про iptables bpf есть упоминания.

Весь пакет:

0000 00 00 02 00 00 00 00 00 02 00 00 00 00 00 08 00

0010 45 70 00 3d 70 49 00 00 77 11 9b 05 5d b7 db d9

0020 b0 d6 4d 8a 69 7d 69 87 00 29 09 1e f2 22 00 00

0030 3d 23 00 00 00 6e 29 74 07 10 5e 04 00 e0 7b 38

0040 00 80 b6 c0 00 00 00 00 18 f1 e1 00 00

Попробовал я ещё раз осилить u32. Протокол UDP. Что у меня получилось: Данные пакета в поле 'data': f22200003d230000006e297407105e0400e07b380080b6c00000000018f1e10000

«виртуально» Вырезал данные:

f2220000

3d230000

Проверить эти вырезанные куски на последние 00. Что я делаю в iptables:

1) iptables -m u32 --u32 «26&0xFF=0x00» -j ACCEPT

2) iptables -m u32 --u32 «30&0xFF=0x00» -j ACCEPT

То есть, мне нужно проверить последние два нуля в том, что они присутствуют в пакете на этих местах. Верно ли я составил правило? и можно ли их как-то объединить в одно правило?

обычный заголовок ipv4 - 20 байт + 8 байт UDP

«iptables -m u32 --u32 '28&0xFF=0x00' -j ACCEPT»

и второй с 32 байта

Спасибо Вам большое! Все работает. Вы мне очень помогли!!!!!!!!!!!

Каких их можно объединить в одно правило?)

никак. Просто 2 правила

В bpf можно.

Хм.. если два правило, то получается первое будет пропускать, а второе бездействовать... Есть варианты их объединения? Только не переадресация пакета в другую цепочку

использовать bpf

Спасибо Вам большое за помощь!