> Нужно > 1. Перехват пакетов с моей машины на сервер > 2. Замена моего ip адреса на другой > 3. Пересылка измененного пакета на сервер (оригинальный > пакет не должен передаваться в сеть) > 4. Поймать ответ сервера и заменить чужой ip на свой > (программа на компе должна видеть пакет как свой)
дополнение
Программа высокого уровня (например ie) на моей машине формирует пакет для отправки на сервер. Этот пакет я хочу перехватить через низкий уровень и изменить ip адрес, как будто он идет не от меня. В таком виде отправить его в сеть. Пакет winpcap позволяет поймать пакет, но он все равно передаст оригинальный пакет в сеть, что не желательно.
Соответственно я хочу поймать ответ сервера (который идет на чужой ip адрес, причем mac адрес мой) и вернуть пакету свой ip адрес. Программа высокого уровня (ie) получит пакет, как будто алресованный ей.
Нужно
1. Перехват пакетов с моей машины на сервер
2. Замена моего ip адреса на другой
3. Пересылка измененного пакета на сервер (оригинальный пакет не должен передаваться в сеть)
4. Поймать ответ сервера и заменить чужой ip на свой (программа на компе должна видеть пакет как свой)
[Win32] Можно ли с помощью пакета winpcap сделать спуфер?04.12.01 15:44 Автор: Oreon Статус: Незарегистрированный пользователь
> Нужно > 1. Перехват пакетов с моей машины на сервер > 2. Замена моего ip адреса на другой > 3. Пересылка измененного пакета на сервер (оригинальный > пакет не должен передаваться в сеть) > 4. Поймать ответ сервера и заменить чужой ip на свой > (программа на компе должна видеть пакет как свой)
дополнение
Программа высокого уровня (например ie) на моей машине формирует пакет для отправки на сервер. Этот пакет я хочу перехватить через низкий уровень и изменить ip адрес, как будто он идет не от меня. В таком виде отправить его в сеть. Пакет winpcap позволяет поймать пакет, но он все равно передаст оригинальный пакет в сеть, что не желательно.
Соответственно я хочу поймать ответ сервера (который идет на чужой ip адрес, причем mac адрес мой) и вернуть пакету свой ip адрес. Программа высокого уровня (ie) получит пакет, как будто алресованный ей.
Если ты изменишь свой IP на другой, то пакет от сервера получишь не ты а этот самый другой!04.12.01 01:00 Автор: BXS Статус: Незарегистрированный пользователь
[Win32] Если ты изменишь свой IP на другой, то пакет от сервера получишь не ты а этот самый другой!04.12.01 15:42 Автор: Oreon Статус: Незарегистрированный пользователь
Программа высокого уровня (например ie) на моей машине формирует пакет для отправки на сервер. Этот пакет я хочу перехватить через низкий уровень и изменить ip адрес, как будто он идет не от меня. В таком виде отправить его в сеть. Пакет winpcap позволяет поймать пакет, но он все равно передаст оригинальный пакет в сеть, что не желательно.
Соответственно я хочу поймать ответ сервера (который идет на чужой ip адрес, причем mac адрес мой) и вернуть пакету свой ip адрес. Программа высокого уровня (ie) получит пакет, как будто алресованный ей.
[Win32] Если ты изменишь свой IP на другой, то пакет от сервера получишь не ты а этот самый другой!05.12.01 16:57 Автор: BioUnit Статус: Незарегистрированный пользователь
Большинство прог "высокого уровня" юзают winsock.dll. Так вот нужно переписать некоторые ф-ции этой dll. Точнее, написать новую winsock.dll, в которой необходимые ф-ции (connect, send, и т.д.) придется реализовать самому (с помощью того же PCAP), а остальные (вспомогательные)переадресовывать стандартной winsockdll. Поместить новую winsock.dll необходимо в туже дирректорию, где находиться твоя прога, в большинстве случаев этого достаточно для того, чтобы прога цепанула твою dll, а не стандартную.
PROG -----> WINSOCK.DLL (new) -----> WINPCAP -----> | N
\ | E
\-----> WINSOCK (org) -----> | T
> Программа высокого уровня (например ie) на моей машине > формирует пакет для отправки на сервер. Этот пакет я хочу > перехватить через низкий уровень и изменить ip адрес, как > будто он идет не от меня. В таком виде отправить его в > сеть. Пакет winpcap позволяет поймать пакет, но он все > равно передаст оригинальный пакет в сеть, что не > желательно. > Соответственно я хочу поймать ответ сервера (который идет > на чужой ip адрес, причем mac адрес мой) и вернуть пакету > свой ip адрес. Программа высокого уровня (ie) получит > пакет, как будто алресованный ей.
[Win32] Если ты изменишь свой IP на другой, то пакет от сервера получишь не ты а этот самый другой!06.12.01 14:01 Автор: Oreon Статус: Незарегистрированный пользователь
> Большинство прог "высокого уровня" юзают winsock.dll. Так > вот нужно переписать некоторые ф-ции этой dll. Точнее, > написать новую winsock.dll, в которой необходимые ф-ции > (connect, send, и т.д.) придется реализовать самому (с > помощью того же PCAP), а остальные > (вспомогательные)переадресовывать стандартной winsockdll. > Поместить новую winsock.dll необходимо в туже дирректорию, > где находиться твоя прога, в большинстве случаев этого > достаточно для того, чтобы прога цепанула твою dll, а не > стандартную. > > > PROG -----> WINSOCK.DLL (new) -----> WINPCAP > -----> | N > \ > | E > \-----> WINSOCK > (org) -----> | T > > >
Хорошая мысль, только непонятно как реализовывать эти функции (connect, send). Можно ли где-нибудь узнать как это сделать?
А если компы в одном сегменте, то получишь его и ты.04.12.01 10:59 Автор: BioUnit Статус: Незарегистрированный пользователь
> Нужно > 1. Перехват пакетов с моей машины на сервер нет проблем
> 2. Замена моего ip адреса на другой тоже самое
> 3. Пересылка измененного пакета на сервер (оригинальный > пакет не должен передаваться в сеть) а вто это нельзя
> 4. Поймать ответ сервера и заменить чужой ip на свой > (программа на компе должна видеть пакет как свой) запросто
Я так понял тебе надо перехватитть траффик и пустить его через себя? (вохможно с изменениями) Если да то для локалки все дается просто...
АРП спуффмнг - так называемая атака "ложый АРП-сервер"..почитать можно здесь:
http://uinc.ru/articles/15/index.shtml тока тебе нужно будет не просто пересылать пакеты а изменять их... но это не так сложно.. было бы желание
удачи
А почему нельзя (см. п.3)?03.12.01 18:44 Автор: BioUnit Статус: Незарегистрированный пользователь
> > Нужно > > 1. Перехват пакетов с моей машины на сервер > нет проблем > > 2. Замена моего ip адреса на другой > тоже самое > > 3. Пересылка измененного пакета на сервер > (оригинальный > > пакет не должен передаваться в сеть) > а вто это нельзя > > 4. Поймать ответ сервера и заменить чужой ip на свой > > (программа на компе должна видеть пакет как свой) > запросто > > Я так понял тебе надо перехватитть траффик и пустить его > через себя? (вохможно с изменениями) Если да то для локалки > все дается просто... > АРП спуффмнг - так называемая атака "ложый > АРП-сервер"..почитать можно здесь: > http://uinc.ru/articles/15/index.shtml > тока тебе нужно будет не просто пересылать пакеты а > изменять их... но это не так сложно.. было бы желание > > удачи
А почему нельзя (см. п.3)?04.12.01 05:08 Автор: Fedor Статус: Незарегистрированный пользователь
> > > 3. Пересылка измененного пакета на сервер > > (оригинальный > > > пакет не должен передаваться в сеть) > > а вто это нельзя Можно, конечно. Файерволлы ещё никто не отменял
> Можно, конечно. Файерволлы ещё никто не отменял интересно как ты собрался запретить получать пакет другой машине? к примеру хост а отправил пакет В... ты сидишь на хосте С... хоть головой об стенку бейся - пакет дойдет до В... если конечно ты не являешься роутером между двумя сегментами... или не создал ложный АРП-сервер ;-))
других методов я не знаю... просветишь?
А если предварительно завалить "В" ?05.12.01 16:45 Автор: BioUnit Статус: Незарегистрированный пользователь
> > Можно, конечно. Файерволлы ещё никто не отменял > интересно как ты собрался запретить получать пакет другой > машине? к примеру хост а отправил пакет В... ты сидишь на > хосте С... хоть головой об стенку бейся - пакет дойдет до > В... если конечно ты не являешься роутером между двумя > сегментами... или не создал ложный АРП-сервер ;-)) > других методов я не знаю... просветишь?
прпадает сам смысл идеи - а идея в том чтобы править пакеты и отправлять Б.... а если он в дауне? какой из этого смысл?
поэтоу лучше всего (и проще) - это АРП спуффинг
Как я понял, суть проблемы в том, чтоб отправлять пакеты от ложного "В", причем сам "В" вообще ничего не знает и не делает.
Но согласен, что при ARP-спуффинге проще.
> > Отправить этот "В" в аут.... > > прпадает сам смысл идеи - а идея в том чтобы править пакеты > и отправлять Б.... а если он в дауне? какой из этого смысл? > поэтоу лучше всего (и проще) - это АРП спуффинг
[Win32] я тоже так думаю05.12.01 17:41 Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
> Как я понял, суть проблемы в том, чтоб отправлять пакеты от > ложного "В", причем сам "В" вообще ничего не знает и не > делает. > Но согласен, что при ARP-спуффинге проще. я тоже так понял. Но при работающем хосте В, при он (хост В) при получении пакетов котрый он не посылал будет разрывать соединение с сервером (а это никак допустстить нельзя). Отправить в даун можно (если это конечно не вин9х непатченный ивалится от IGMP нюка или фрагментрированных ТСП пакетов).. в остальных случаях - тока спуфить В чтобы его ответы никуда не доходили
[Win32] Можно ли с помощью пакета winpcap сделать спуфер?03.12.01 18:26 Автор: BioUnit Статус: Незарегистрированный пользователь
Можно.
Вот только, наверное, придется переписать (частично) winsock.dll
> Нужно > 1. Перехват пакетов с моей машины на сервер > 2. Замена моего ip адреса на другой > 3. Пересылка измененного пакета на сервер (оригинальный > пакет не должен передаваться в сеть) > 4. Поймать ответ сервера и заменить чужой ip на свой > (программа на компе должна видеть пакет как свой)
[Win32] ничего переписывать не придется...03.12.01 18:35 Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
я юзаю нмап под вин32 с дровами PCCap 2.1 (2.2 - действительно глючные) и никаких траблов не замечал.. кроме того на этиз же дровах испытывал атаку ложный АРП-сервер - все работает без сбоев... не буду ручаться что они 100 безглючные , но работают же.. и ничего самому переписыавть не надо
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
