用于流量拦截的镜像网络流量

Question

我想开发一个应用程序，将来自网段的所有流量镜像到windows站点以便能够查看所有tcp-ip请求/响应数据（筛选）。我知道它应该有可能使用WinPcap捕获所有数据包，但在这种情况下，问题将是我将不得不实现所有需要能够区分tcp数据流的处理（例如握手，关闭，重传，重新排序，也许别人？）。我需要数据流，因为我将进行应用程序级别（例如http）过滤。

我不知道是否有驱动程序/解决方案提供我的tcp数据流，可以在网关机器上使用或使用端口镜像的解决方案。

Answer 1

对于初学者，在WinPCap中，您可以定义一些名为filter的东西。
该筛选器会筛选出除指定类型以外的所有流量，因此如果只想捕获HTTP流量，建议您在TCP Port 80或您用于HTTP的任何其他端口上进行筛选。

捕获这些数据包后，您可以检查TCP的有效负载，解析HTTP标头并根据您的系统策略执行所需操作。

检查this link如果你想熟悉如何使用WinPCap以及如何使用过滤器（在这个例子中他们通常捕获TCP流量，你应该添加他们的过滤器“端口80”）。