将Wireshark开发成IDS、IPS或软件防火墙，有可能吗？

Question

我知道Wireshark只用于捕获和解码网络数据包，没有任何入侵检测系统(IDS)和入侵预防系统(IPS)功能。它为开发人员提供了开发自己所需的附加功能的源代码。

我的问题是，Wireshark开发的瓶颈是什么？是否可以通过源代码编辑添加自己的IDS或IPS模块或软件防火墙(应用层)？

如果它超过了Wireshark开发的瓶颈，任何开源sdk都能做到吗？

Answer 1

是否可以添加自己的IDS或IPS模块？

这可能是可能的，但是Wireshark的数据包分解是面向获取所有数据包细节的，因此它所做的工作可能比IDS所需的要多，这可能会使它作为一个好的IDS太慢。

它没有连接到操作系统相关的IPS所必需的机制，即丢弃被认为是入侵一部分的数据包的机制，因此没有地方添加IPS模块。

或者软件防火墙(应用层)，

同样，Wireshark没有连接防火墙所必需的操作系统相关机制的钩子.