BugTraq.Ru: форум / programming / Конечно, не TCP поток. На raw сокете ты получишь IP. А...

информационная безопасность
без паники и всерьез

подробно о проекте

Анализ криптографических сетевых...

Модель надежности двухузлового...

Специальные марковские модели надежности...

50 лет Ethernet

Уязвимость в KeePass

Сравнение программистских навыков...

bugtraq.ru / форум / programming

Имя

Пароль


ФОРУМ


	все доски
	FAQ
	IRC
	новые сообщения

	site updates
	guestbook
	beginners
	sysadmin
	programming
operating systems
theory
web building
software
hardware
networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap

регистрация

Легенда:

новое сообщение

закрытая нитка

новое сообщение

в закрытой нитке

старое сообщение

Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
Новичкам также крайне полезно ознакомиться с данным документом.

Конечно, не TCP поток. На raw сокете ты получишь IP. А... 20.01.09 07:07 Число просмотров: 1364
Автор: void <Grebnev Valery> Статус: Elderman

<"чистая" ссылка>

<обсуждение закрыто>

> Если собранный TCP поток - то уже начинаю искать пепел,
> чтобы посыпать голову :-)
Конечно, не TCP поток. На raw сокете ты получишь IP. А дальше посыпать пеплом голову будет тот, кто будет делать всё дальше. Сделать нориальный софт здесь - непросто и многодельно. Вкратце и в первом приближении надо:
1) фильтровать IP пока не получишь первые 4 TCP пакета хендшейка (SYN, SYN ACK, ACK, ACK) для http порта интересующего хоста.
2) фильтровать начальные пакеты TCP с установкой опций инициализации и настройки соединения (SACK и т.д.), что впрочем бывает весьма редко. Можно и не фильтровать - всё расно длина данных TCP будет = 0. Т.е. это только заголовки IP+заголовки TCP.
3) фильтровать TCP пайлоад - учитывать IP пакеты содержащие TCP в битами PUSH или PUSH ACK от ремоут хоста. ACK пакеты можно отбрасывать (там длина данных = 0).
4) вести вектор буферов аналогично списку TCB TCP c анализом последовательности байт из заголовка TCP отправителя. Если соединение хорошее (например локальная сеть), то в простейшем случае повторых передач не должно быть. И кроме того в простейшем и благоприятном случае очерёдность пакетов отправителя будет соответствовать правильной последовательности байт TCP стрима - тогда просто дописывам пайлоад в конец буфера и инкриментируем свои счётчики последовательности принятых байт.
5) продолжать это безобразие пока:
- соединение не завершено (флаги FIN, FIN ACK)
или
- аварийно прекращено одной из сторон (флаги RST в пакете отправителя или получателя)
или
- таймаут (сервер или клиент умерли)

Короче остаётся только посыпаться пеплом, если это (потуги) окажется неизлечимо ;) Но за нормальное денежное вознаграждение можно.

Поиск

[Win32] Перехват входящего HTTP-трафика - Vedrus 18.01.09 07:47 [3028]
- www.wireshark.org [url] - + 19.01.09 22:27 [2014]
  - +1 (-) - void 20.01.09 07:08 [1442]
    - Да советовал я ему уже в прошлом посте. Он ту тему... - amirul 20.01.09 08:08 [1531]
    - А что это такое? Объясните пожалуйста в двух словах (-) - Vedrus 20.01.09 07:28 [1456]
      - Let me google that for you [url] (-) - amirul 20.01.09 08:09 [1932]
        Гугл гулглом, но если кто-то может в двух словах о... (-) - Vedrus 20.01.09 08:47 [1511]
        wireshark установил и пользуюсь. Спасибо за ссылку... (-) - Vedrus 25.01.09 08:28 [1880]
- Если речь идёт о боте к игрушке, то... - Ustin 18.01.09 16:52 [1759]
- [Win32] А ось то какая хоть? (-) - amirul 18.01.09 08:31 [1605]
  - WinXP (-) - Vedrus 18.01.09 09:22 [1476]
    - Плохо, конечно, но излечимо - amirul 18.01.09 09:38 [1487]
      - Я для себя выбрал WinPcap. Почитал вот эту статью: - Vedrus 19.01.09 03:58 [2485]
        Как ты мог догадаться, winpcap перехватывает пакет... - amirul 19.01.09 04:02 [1830]
        Вот здесь я нашёл инфу, что нужно скачать WpdPack: - Vedrus 19.01.09 04:10 [2123]
        Ну да, все кроме winpcap-а именно это и делают (-) - amirul 19.01.09 04:50 [1653]
        Ясно, буду рыть в сторону LSP. [url] - Vedrus 19.01.09 07:52 [1489]
        Про PacketX сказать ничего не могу - первый раз слышу - amirul 19.01.09 19:52 [1574]
        Тогда буду задавать более конкретные вопросы. - Vedrus 20.01.09 05:48 [1587]
        Хедеры вроде бы должны быть в PlatformSDK - amirul 20.01.09 06:34 [1616]
        А nt.h и другие где взять? у меня 2008-ая сдка стоит, но... [url] - Vedrus 20.01.09 06:54 [1292]
        С LSP разобраться не удалось. WinPCap показался пр... - Vedrus 23.01.09 11:56 [1392]
        Вопрос отпал, когда я установил wireshark [url] - Vedrus 25.01.09 08:39 [1296]
        блин ступил, сам уже понял (-) - Vedrus 20.01.09 03:14 [1110]
      - Плохо излечимо, конечно, но на ХP можно просто из... (-) - void 19.01.09 02:14 [1297]
        Хм, а в raw socket тебе разве не пакеты приходить будут? - amirul 19.01.09 03:15 [1326]
        Конечно, не TCP поток. На raw сокете ты получишь IP. А... - void 20.01.09 07:07 [1364]
        LSP - TRESPASSER[CfK] 19.01.09 11:08 [1131]

Page build time: 0 s

Design: Vadim Derkach