使用libpcap获取包的uid

Question

是否可以使用libpcap获取捕获的tcp数据包的有效uid？换句话说，我可以使用libpcap来获取创建该数据包的用户id吗？

Answer 1

如果数据包是从另一台计算机发送的，则不能保证发送数据包的人具有用户ID -例如，它可能是由没有用户ID概念的小型嵌入式操作系统发送的。

如果数据包是从您的计算机发送的，则libpcap本身无法告诉您发送者的用户ID。但是，如果解析TCP数据包，您可以获得数据包的源IP地址和端口号，并且根据您运行的操作系统，您可能能够获得计算机上所有活动TCP连接的表，可能带有与其关联的进程ID或用户ID。(但是，请注意，例如，在UN*X系统上，给定TCP连接的给定文件描述符可以由使用不同有效或真实用户ID运行的多个进程共享，在这种情况下，如果您拥有的只是使用libpcap捕获的传输数据包，您将没有足够的信息来确定发送数据包的进程的有效或真实用户ID，因为您不知道发送数据包的进程。)

Answer 2

不会，UID信息-如果有任何起始信息-不会通过pcap使用的AF_PACKET通道传播。