用於流量攔截的鏡像網絡流量

Question

我想開發一個應用程序，將來自網段的所有流量鏡像到windows站點以便能夠查看所有tcp-ip請求/響應數據（篩選）。我知道它應該有可能使用WinPcap捕獲所有數據包，但在這種情況下，問題將是我將不得不實現所有需要能夠區分tcp數據流的處理（例如握手，關閉，重傳，重新排序，也許別人？）。我需要數據流，因爲我將進行應用程序級別（例如http）過濾。

我不知道是否有驅動程序/解決方案提供我的tcp數據流，可以在網關機器上使用或使用端口鏡像的解決方案。

Answer 1

對於初學者，在WinPCap中，您可以定義一些名爲filter的東西。
該篩選器會篩選出除指定類型以外的所有流量，因此如果只想捕獲HTTP流量，建議您在TCP Port 80或您用於HTTP的任何其他端口上進行篩選。

捕獲這些數據包後，您可以檢查TCP的有效負載，解析HTTP標頭並根據您的系統策略執行所需操作。

檢查this link如果你想熟悉如何使用WinPCap以及如何使用過濾器（在這個例子中他們通常捕獲TCP流量，你應該添加他們的過濾器「端口80」）。