我想转储特定应用程序的所有网络数据包(IP 数据包),然后丢弃它们(就像一个哑 NIC),这样实际上没有数据包通过 NIC。所有这些都是在应用程序不知情的情况下完成的。 (意思是应用认为包发送成功,但实际上包被丢弃了。)
我这样做是为了将转储的数据发送到另一台机器并重新发送这些包,稍作修改。
平台是 Linux,我认为一定有一些不错的方法可以做到这一点,例如使用 iptables、netfilter 或 tap/tun。问题是转储和丢弃应该只针对一个应用程序完成。在这种情况下如何设置规则?
不得已的办法就是修改内核,增加一些接口(interface)供应用程序调用。我希望这不是唯一的方法。
最佳答案
如果您可以启动进程,那么:
1) 使用 lxc(Linux 容器)将应用程序放在它自己的网络命名空间中。您可以仅为该容器设置 netfilter 规则。哎呀,如果你愿意,你可以给应用程序它自己的 IP 地址。
/usr/bin/lxc-execute -n app_container -f my_net_lxc.conf your_application
2) 正如 Wu 所指出的,您可以使用 LD_PRELOAD 来覆盖标准库。只需将它指向一些包装函数,您就可以拦截来自应用程序的所有调用。
LD_PRELOAD=/usr/lib/mylib.so your_application
# See here for info: https://github.com/wh5a/ld_preload
3) 正如 Giles 所指出的,您可以使用 iptables。您将不得不为该应用程序创建一个特殊用户。
# Setup: Add a user and give him some rules
adduser --shell /bin/false --no-create-home tempuser
iptables -A OUTPUT -m owner --uid-owner tempuser -j ACCEPT
# Run your app
sudo -u tempuser your_application
4) 您可以在 VM 技术下运行该应用程序,例如用户模式 Linux 或 QEMMU,它们为该应用程序提供了一个您可以在多个级别修改/控制的完整内核。
如果您没有启动该进程,您仍然可以使用 ptrace 附加到该进程。这使您可以检查进程进行的每个系统调用。
关于linux - 转储和丢弃特定应用程序的网络数据包的最佳方法是什么?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/15617363/