Перехват трафика в memcached для статистики / анализа

Что именно вы пытаетесь отследить? Если вам нужен простой подсчет пакетов или байтов или основная информация заголовка, iptables запишет это для вас:

iptables -I INPUT -p tcp -d $HOST_IP --dport $HOST_PORT -j LOG $LOG_OPTIONS

Если вам нужна более подробная информация, посмотрите на цель iptables ULOG, которая отправляет каждый пакет в пользовательское пространство для анализа.

Подробную документацию по очень см. В http://www.netfilter.org.

Вы не упомянули один подход: вы можете изменить memcached или своего клиента для записи необходимой вам статистики. Это, наверное, самый простой и чистый подход.

Между прокси-сервером и подходом libpcap есть несколько компромиссов:

- If you do the packet capture approach, you have to reassemble the TCP
  streams into something usable yourself. OTOH, if your monitor program
  gets bogged down, it'll just lose some packets, it won't break the cache.
  Same if it crashes. You also don't have to reconfigure anything; packet
  capture is transparent. 

- If you do the proxy approach, the kernel handles all the TCP work for
  you. You'll never lose requests. But if your monitor bogs down, it'll bog
  down the app. And if your monitor crashes, it'll break caching. You
  probably will have to reconfigure your app and/or memcached servers so
  that the connections go through the proxy.

Короче говоря, прокси-сервер, вероятно, будет легче кодировать, но его реализация может быть королевской головной болью, и лучше бы он был идеальным, иначе кеширование уменьшилось бы. Смена приложения или memcached кажется мне самым разумным подходом.

BTW: Вы смотрели на встроенную статистику memcached? Я не думаю, что он достаточно подробный для того, что вы хотите, но если вы его не видели, взгляните, прежде чем приступить к реальной работе :-D

iptables предоставляет libipq, библиотеку очередей пакетов пользовательского пространства. На странице руководства:

Netfilter provides a mechanism for passing packets out of the stack for queueing to userspace, then receiving these packets back into the kernel with a verdict specifying what to do with the packets (such as ACCEPT or DROP). These packets may also be modified in userspace prior to reinjection back into the kernel.

Настроив индивидуальные правила iptables, которые пересылают пакеты в libipq, помимо определения вердикта для них, можно выполнять проверку пакетов для анализа статистики.

Другой жизнеспособный вариант - вручную прослушивать пакеты с помощью сокета libpcap или PF_PACKET с поддержкой фильтра сокетов.

Если вы хотите использовать сниффер, возможно, будет проще использовать tcpflow вместо tcpdump или libpcap. tcpflow будет выводить только полезную нагрузку TCP, поэтому вам не нужно заботиться о повторной сборке потока данных самостоятельно. Если вы предпочитаете использовать библиотеку вместо того, чтобы склеивать кучу программ, вас могут заинтересовать libnids.

libnids и tcpflow также доступны в других версиях Unix и не ограничивают вас только Linux (в отличие от iptables).

http://www.circlemud.org/~jelson/software/tcpflow/http://libnids.sourceforge.net/