在 Linux C 中实现上网行为审计,通常需要结合 网络流量捕获、协议解析 和 日志记录 等技术。以下是分步骤的实现方案:
1. 网络流量捕获
通过原始套接字(Raw Socket)或库(如 libpcap)抓取网络数据包。
方法一:使用 Raw Socket
#include <stdio.h>
#include <sys/socket.h>
#include <netinet/in.h>
#include <arpa/inet.h>
int main() {
int sock = socket(AF_INET, SOCK_RAW, IPPROTO_TCP);
if (sock == -1) {
perror("socket");
return -1;
}
char buffer[4096];
while (1) {
ssize_t len = recv(sock, buffer, sizeof(buffer), 0);
if (len > 0) {
// 解析并记录数据包(见步骤2)
}
}
}
(推荐) 方法二:使用 libpcap
#include <pcap/pcap.h>
void packet_handler(u_char *user, const struct pcap_pkthdr *hdr, const u_char *packet) {
// 解析并记录数据包
}
int main() {
pcap_t *handle = pcap_open_live("eth0", BUFSIZ, 1, 1000, NULL);
pcap_loop(handle, -1, packet_handler, NULL);
}
安装依赖:sudo apt-get install libpcap-dev
2. 协议解析与过滤
提取关键信息(如 HTTP/HTTPS/DNS 请求的域名、IP、端口等)。
HTTP 示例(解析 Host)
// 在 packet_handler 中解析以太网帧 → IP → TCP → HTTP
struct iphdr *ip_header = (struct iphdr*)(packet + sizeof(struct ethhdr));
if (ip_header->protocol == IPPROTO_TCP) {
struct tcphdr *tcp_header = (struct tcphdr*)(packet + sizeof(struct ethhdr) + ip_header->ihl*4);
// HTTP默认端口80
if (ntohs(tcp_header->dest) == 80) {
char *payload = (char *)(packet + sizeof(struct ethhdr) + ip_header->ihl*4 + tcp_header->doff*4);
if (strstr(payload, "Host: ")) {
char host[256];
sscanf(strstr(payload, "Host: "), "Host: %s", host);
printf("HTTP访问: %s\n", host); //记录到日志文件
}
}
}
DNS查询审计
if (ip_header->protocol == IPPROTO_UDP && ntohs(udp_header->dest) == 53) {
//解析DNS查询的域名(需实现DNS协议解码)
}
3. HTTPS处理(可选)
HTTPS流量加密,需以下方式之一:
- 中间人代理:部署自签名证书解密流量。
- 旁路监听:仅记录域名(SNI),不解密内容。
- 内核模块:如
eBPF挂钩SSL/TLS函数。
4.用户关联
将网络行为绑定到具体用户:
- Linux PAM模块:监控用户登录会话。
- 进程跟踪:通过
/proc/net/tcp或ss -tulp关联进程与连接。
###5.日志存储与分析 将审计结果写入数据库或文件:
FILE *log = fopen("/var/log/net_audit.log", "a");
fprintf(log, "[%s] User:%d访问:%s\n", timestamp(), user_id, hostname);
fclose(log);
推荐使用 syslog库直接写入系统日志。
###6.(高级)内核级实现 如需高性能审计,可开发内核模块:
- Netfilter钩子(
nf_register_hook)。 - eBPF程序(如
tc-bpf)。
###完整流程总结:
抓包(libpcap)→协议解析→关联用户→日志存储→分析告警
注意事项:
1.权限要求:需root或CAP_NET_ADMIN能力。
2.隐私合规性:确保符合法律法规。
如果需要现成工具参考,可以研究 Suricata、Zeek等开源项目的实现逻辑。
内容由零声教学AI助手提供,问题来源于学员提问
![Micrel KSZ8081 or KSZ8091 2188000.ethernet-1:02: attached PHY driver [Micrel KSZ8081 or KSZ8091] (mii_bus:phy_addr=2188000.ethernet-1:02, irq=POLL)](https://linuxcpp.0voice.com/zb_users/upload/2023/05/202305162224509509129.png)
