捕获数据包上的网络和传输层功能

Question

我有一个客户端和服务器程序在TCP上进行通信，在应用层上实现了IEC-60870-5-104协议.我正在嗅探它们之间所有通信量的副本，如何准确地复制从libpcap中提取的数据包上的IP和TCP层功能？就像IP重组、管理无序段、重传、复制TCP段和分离PDU一样，我得到的数据包就像在服务器的应用层上嗅探一样。(还请建议任何有助于实现这一目标的框架工程)。

Answer 1

这是一项非常困难和涉及的任务。这是网络入侵检测/深度数据包检查系统所做的，而且AFAIK没有处理它的插入库。

你最好的选择是建立一个现有的系统，比如Bro或Suricata (或者wireshark内部设备)，它已经在执行会话跟踪、状态管理、重新组装、重新排序、重复检测等等。然后，您可以添加自己的应用层解码来对重新组装的数据流进行操作。