Config, um nur PCAP-Empfangspaket

407
Groot

Ich versuche, pcap zu verwenden, um das Paket vor dem Versand zu ändern. Zum Beispiel habe ich einen Server (läuft Ubuntu), der Port 8000 überwacht. Bevor SYN-ACK für eingehende SYN-Pakete gesendet wird, versuche ich, den SYN-ACK mithilfe von pcap zu ändern.

Bisher kann ich den vom Betriebssystem generierten SYN-ACK in pcap empfangen, ändern und versenden. Es werden jedoch zwei Pakete gesendet: (1) Original-SYN-ACK-Paket, das vom Betriebssystem generiert wurde, (2) PCAP-modifiziertes Paket.

Ich weiß, dass dies nicht überraschend ist, da das Betriebssystem eine Kopie des Pakets zur Verarbeitung an pcap sendet und das Originalpaket separat gesendet wird.

Als ich das ausgehende SYN-ACK-Paket (das vom Betriebssystem generiert wurde) mit iptables verwarf, konnte ich nicht einmal das SYN-ACK in der pcap empfangen.

Meine Frage ist: Ist es möglich, das ursprüngliche SYN-ACK-Paket zu löschen und nur das modifizierte PCAP-Paket zu senden?

Vielen Dank!

0

1 Antwort auf die Frage

0
Paul

Nehmen wir an, Ihre Ziel-IP ist 8.8.8.8

Richten Sie auf Ihrem ursprünglichen Host eine Route wie folgt ein:

route 8.8.8.8 mask 255.255.255.255 gateway 192.168.1.254

Befindet sich die Gateway-IP-Adresse im lokalen Netzwerk und ist nicht vorhanden (dies ist nicht der eigentliche Befehl, verwenden Sie die vom verwendeten Routingtool abhängige Syntax).

Fügen Sie dann einen Arp-Eintrag hinzu:

arp -s 192.168.1.254 11:22:33:44:55:66

Jetzt werden alle Pakete vom Host, die für 8.8.8.8 bestimmt sind, an diese MAC-Adresse gesendet und gehen nirgendwohin.

Jetzt können Sie das Paket abfangen, Ihre Änderungen vornehmen, aber auch den Ziel-MAC so ändern, dass er Ihrem Router-MAC entspricht, damit er korrekt ausgeht. Antwortpakete werden automatisch an den Server gesendet.

Danke, @Paul, aber ich möchte nur das SYN-ACK von OS mit SRC-Port 8000 blockieren. Der Rest des Datenverkehrs von / nach 8.8.8.8 sollte vom OS gehandhabt werden. Groot vor 9 Jahren 0
Zusätzlich erhält das Paket, das ich in pcap erhalten habe, auch das Ziel. Mac von 11: 22: 33: 44: 55: 66. Ich kann das Dst ändern. mac durch pcap, aber wahrscheinlich ist es schön, eine sauberere Lösung zu haben. :-) Groot vor 9 Jahren 0
Es ist beabsichtigt, dass Sie die MAC so bekommen - das war die letzte Zeile meiner Antwort. Wenn Sie ein Paket abfangen können, können Sie sie alle abfangen und nur den DST-Mac für sie aktualisieren. Sie können die Synchronisierung des Servers nicht stoppen, Sie müssen also den Datenfluss vollständig steuern. Paul vor 9 Jahren 0
aah! Ich denke, ich kann damit anfangen, und wenn ich etwas besseres finde, werde ich es hier posten. Danke für Ihre Hilfe! --IamGroot Groot vor 9 Jahren 0

Verwandte Probleme