我正在使用 tshark 捕获 ubuntu 系统上的网络流量。
我想知道是否有办法使用 iptables 或其他方法修改网络流量,以根据生成数据的 ssh 用户添加其他字段或元数据(例如 socks 代理)。
我稍后使用 tshark 将网络流量解析为 json,所以我想在那里看到该字段。
答案1
在 SYN 时使用 iptables 的 LOG 目标和 --uuid(您似乎在谈论 SSH)。这样,日志中就会有足够的信息来标记您捕获的其余数据包,而无需额外的信息(相同的地址和端口对)。
如果您要在其他地方进行捕获,您还可以在 iptables 中修改数据包。例如,根据“-m 所有者”稍微更改 TOS 或 TTL。它可能适用于一小部分已知用户。