<br><font size=2 face="sans-serif">Hi,</font>
<br>
<br><font size=2 face="sans-serif">I was analyzing some tcpdump data, and
noticed that it also captured packets mangled by Netfilter hooks.</font>
<br><font size=2 face="sans-serif">Theoretically I know that the pcap library
takes off the packets from ethernet driver level and with the help of</font>
<br><font size=2 face="sans-serif">the dynamic filters set by userspace,
we are able to see those packets via tcpdump.</font>
<br>
<br><font size=2 face="sans-serif">But aren't netfilter hooks attached
at a higher level, namely the network stack? If so, then how is the pcap
library able to</font>
<br><font size=2 face="sans-serif">sniff those packets as well? Is it like
the pcap library just holds a reference to the packets it takes from the
driver, or</font>
<br><font size=2 face="sans-serif">does it maintain a separate copy for
displaying?</font>
<br>
<br><font size=2 face="sans-serif">Any answers/clarifications would be
much appreciated.</font>
<br>
<br><font size=2 face="sans-serif">Thanks,</font>
<br><font size=2 face="sans-serif">Sowmya</font><pre style="white-space:normal">=====-----=====-----=====<br>Notice: The information contained in this e-mail<br>message and/or attachments to it may contain <br>confidential or privileged information. If you are <br>not the intended recipient, any dissemination, use, <br>review, distribution, printing or copying of the <br>information contained in this e-mail message <br>and/or attachments to it are strictly prohibited. If <br>you have received this communication in error, <br>please notify us by reply e-mail or telephone and <br>immediately and permanently delete the message <br>and any attachments. Thank you<br><br><br></pre>