Entonces, para una aplicación relacionada con la seguridad que estoy escribiendo, realmente quiero usar RFC3514 ("The Evil Bit") para determinar qué conjunto de tráfico en la red es malo o no un por nivel de paquete Esto se utiliza como datos de capacitación para un motor de aprendizaje automático asistido, por lo que la aplicación debe saber de antemano qué paquetes son malos y cuáles no.Cómo configurar el bit Evil en el tráfico saliente
Esto debería ser bastante simple, simplemente está configurando un único bit de capa IP. Intenté investigar cómo hacerlo con iptables o libpcap, pero o bien no tienen la funcionalidad o no pude descubrirla.
Ser capaz de configurarlo para todo el tráfico de una máquina estaría bien, pero los filtros en lo que sale serían mejores. (Al igual que ser capaz de especificar qué protocolos de capa superior se establece, etc ...)
Estoy usando Ubuntu, también. Entonces, las soluciones Linux son las preferidas. Pero, de lo contrario, realmente no importa qué método se use para lograr esto. Bash script, aplicación c/C++, configuración de algunos sysctl, lo que sea.
+1 Interesante, pero creo que el estándar de hecho de eliminar o registrar estos paquetes por un IPS/IDS es un enfoque más seguro. – rook
Bueno, el punto es que no quiero usar un IPS/IDS basado en firmas. De ahí la porción de aprendizaje automático. Pero eso no es realmente relevante para la pregunta, solo información de fondo. Podría haber preguntado de manera equivalente "¿Cómo puedo establecer un indicador en los paquetes salientes sin alterar su funcionamiento/interpretación?" Parece poco probable que yo sea la primera persona en tener esa necesidad. – AltF4
Diez meses después uno se pregunta si está filtrando con éxito todo el mal tráfico de red. No trabajas para Sony, ¿verdad? –