用于流量拦截的镜像网络流量

Question

我想开发一个应用程序，其中来自网络段的所有流量都镜像到windows工作站，以便能够看到所有tcp-ip请求/响应数据(过滤)。

我知道使用WinPcap捕获所有数据包应该是可能的，但在这种情况下的问题是，我必须实现能够区分tcp数据流所需的所有处理(例如，握手、关闭、重新传输、重新排序，也许是其他?)。我需要数据流，因为我将进行应用级(例如http)过滤。

我想知道是否有某种驱动程序/解决方案可以为我提供tcp数据流，可以在网关机上使用或使用端口镜像的解决方案。

Answer 1

对于初学者来说，在WinPCap中，你可以定义一个叫做filter的东西。

该过滤器会过滤掉除您指定的类型之外的所有流量，因此，如果您只想捕获HTTP流量，我建议您在TCP Port 80或用于HTTP的任何其他端口上进行过滤。

一旦您捕获了这些数据包，您就可以检查TCP的有效负载，解析HTTP报头，并根据系统策略执行任何您想做的事情。

如果您想熟悉如何使用WinPCap和如何使用过滤器，请选中this link (在本例中，它们通常捕获TCP流量，您应该在其过滤器中添加“端口80")。