http-сниффер

@Antisymmetrizer · Регистрация: 10.05.2010

Студворк — интернет-сервис помощи студентам

Джентельмены!

Подскажите, пожалуйста с чего начать. Любой соурс по теме очень нужен.
В конечном счёте нужно получить программу, которая, сидя на маршрутизаторе, будет подменять передаваемые при http-соединении файлы. Т.е. в iptables настраиваем редирект на нашу прогу (это + ДНС я сделал).
Затем прога выясняет свойства http-пакета (интересен destination- ДНС имя или ip, передаваемые данные, ну и что за пакет, GET/не GET и т.п.). Затем делает новый пакет с подменённым файлом и отправляет дальше.
Вот собственно вопрос по курсивной части, как перехватить, развернуть пакет, завернуть новый, отослать на сервер и т.д..
Огромное спасибо за любой код, приближающий к решению проблемы!

Писал в спешке, переписал более вдумчиво. Спасайте ((

g_u_e_s_t · 09.11.2011, 22:27

Вообще не понятно, к чему все это...
Имхо, идеологически правильнее для подобной задачи проксировать веб трафик.
Если твердо решили извращаться с iptables, то смотрите в сторону libipq

@Antisymmetrizer · 09.11.2011, 22:43 **[ТС]**

Задание в институте такое, увы.

Т.е. мы сможем получить все пакеты. Как из них отобрать по критериям- вот проблема.. Не знаю как подступиться ни к перехвату, ни к разбору.
А сделать надо сокетами.. И под Линь. Убунту 10 в частности.

@Antisymmetrizer · 11.11.2011, 21:06 **[ТС]**

Неужель никто не знает?
Перехват-то ещё могу состряпать.. и разбор.. А вот подмену.. Поможет кто?

g_u_e_s_t · 12.11.2011, 10:41

Сообщение от Antisymmetrizer

Перехват-то ещё могу состряпать.. и разбор.. А вот подмену.. Поможет кто?

А с чем конкретно проблема то?
Если Вы уже осилили "разбор", то вставить что угодно в пакет, не забыв обновить TCP и IP заголовки ну просто детская задача по сравнению с "разобрать".

@Antisymmetrizer · 12.11.2011, 15:45 **[ТС]**

Нашёл много кода, разбирающего ip, tcp и udp.
Из проблем- разобрать http и сделать подмену файлов. Но первичнее разобрать.. Поможете?

g_u_e_s_t · 12.11.2011, 16:41

Сообщение от Antisymmetrizer

Из проблем- разобрать http и сделать подмену файлов. Но первичнее разобрать.. Поможете?

Вряд ли, конкретных вопросов у Вас по прежнему нет, а у меня в голове не укладывается как сниффер может влиять на трафик.

PS: как человек осиливший хотя бы пересборку фрагментированных TCP пакетов может иметь затруднения с разбором строки вида "METHOD :space: URL :space: HTTP/x.y\r\n"|"NAME: :space: VALUE\r\n"???

@niXman · 12.11.2011, 21:49

Сообщение от g_u_e_s_t

у меня в голове не укладывается как сниффер может влиять на трафик.

я за темой следил, и все надеялся, что он все же умеет

википедия про сниффер говорит то, что я и так знал. но я все же решил заглянуть, вдруг я что-то путаю.

Анализатор трафика, или сниффер (от англ. to sniff — нюхать) — сетевой анализатор трафика, программа или программно-аппаратное устройство, предназначенное для перехвата и последующего анализа, либо только анализа сетевого трафика, предназначенного для других узлов.
Сниффер может анализировать только то, что проходит через его сетевую карту. Внутри одного сегмента сети Ethernet все пакеты рассылаются всем машинам, из-за этого возможно перехватывать чужую информацию. Использование коммутаторов (switch, switch-hub) и их грамотная конфигурация уже является защитой от прослушивания. Между сегментами информация передаётся через коммутаторы. Коммутация пакетов — форма передачи, при которой данные, разбитые на отдельные пакеты, могут пересылаться из исходного пункта в пункт назначения разными маршрутами. Так что если кто-то в другом сегменте посылает внутри его какие-либо пакеты, то в ваш сегмент коммутатор эти данные не отправит.

Antisymmetrizer, тебе нужна прокся. в таком случае ты можешь фильтровать/изменять проходящий через нее траф.

Evg · 13.11.2011, 00:04

Да автор как бы изначально постановку задачи определил, а назвать это "сниффер", "веник" или "пряник" - разницы особой нет

accept · 13.11.2011, 08:09

Сообщение от Antisymmetrizer

Затем делает новый пакет с подменённым файлом и отправляет дальше.

новый пакет содержит новый путь к файлу, скорее всего
старый пакет остаётся

ищи средство разбора tcp-пакета
ищи средство формирования tcp-пакета
разобрав tcp-пакет, выделяй оттуда путь и формируй новый tcp-пакет
(там ещё какие-то данные, их можно повторить или создать новые)
сначала делай для GET-запроса

@niXman · 13.11.2011, 08:47

Сообщение от Evg

а назвать это "сниффер", "веник" или "пряник" - разницы особой нет

ага. терминологию придумали задроты.

g_u_e_s_t · 13.11.2011, 11:22

Сообщение от Evg

Да автор как бы изначально постановку задачи определил

Ну не знаю, обозвать 1й и последующий пост ТС'а постановкой задачи как-то слишком сильно...

Сообщение от Evg

а назвать это "сниффер", "веник" или "пряник" - разницы особой нет

Вы не правы, я вот до сих пор не могу понять, идет речь все-таки о проксировании или о том, что называется fuzzer т.к. не смотря на схожий внешний эффект вещи совершенно разные.

Evg · 13.11.2011, 13:04

Сообщение от g_u_e_s_t

Вы не правы, я вот до сих пор не могу понять, идет речь все-таки о проксировании или о том, что называется fuzzer т.к. не смотря на схожий внешний эффект вещи совершенно разные.

Ему нужно, чтобы на вход маршрутизатора подавался файл А, а на выходе (только для конкретного dst-адреса) формировался файл A-штрих, но при этом маршрутизатор делал бы вид, что так всё и было. Как оно называется, мне как-то впадлу разбираться

g_u_e_s_t · 13.11.2011, 15:04

Сообщение от Evg

Ему нужно, чтобы на вход маршрутизатора подавался файл А, а на выходе (только для конкретного dst-адреса) формировался файл A-штрих, но при этом маршрутизатор делал бы вид, что так всё и было

Не, ну может это и сойдет за Т.З. для чайников/идиотов, но сформулировав так, нормального ответа не будет. А ведь тема, то интересная...
Что бы советовать ТСу что-то вменяемое, требуется нормальная формулировка задачи, например:
1. с помощью iptables завернуть весь трафик идущий с хоста A на хост B:80 в программу (-j QUEUE N)
2. ждать 1й пакет с не нулевым tcp-payload, пропуская остальные без имений.
3. Убедиться, что пакет HTTP
3. А вот тут и начинается самое веселье:
Что будем делать если мы получили фрагмент запроса? (например "GET / H")
Что делать если заголовок HTTP запроса получен, а данные нет?
Что делать с пакетами которые нам не нужны? (переписали данные в HTTP не забыв поправить Content-Length и знаем что данных стало меньше на 100kб)
Таких вопросов с десяток. От ответов на них зависит какую часть TCP стека придется написать ручками (точнее утащить откуда нибудь)
И пока на них нет ответов, это не топик, а детский лепит из серии "ПОМОГИТЕ!!!")

accept · 14.11.2011, 00:58

Сообщение от g_u_e_s_t

Что будем делать если мы получили фрагмент запроса? (например "GET / H")

пропускать его дальше без изменений

Сообщение от g_u_e_s_t

Что делать если заголовок HTTP запроса получен, а данные нет?

пропускать его дальше без изменений

Сообщение от g_u_e_s_t

Что делать с пакетами которые нам не нужны?

пропускать их дальше без изменений

на первом этапе можно написать прогу, которая работает только с правильными данными

Сообщение от g_u_e_s_t

Что бы советовать ТСу что-то вменяемое, требуется нормальная формулировка задачи

Сообщение от Antisymmetrizer

Затем прога выясняет свойства http-пакета (интересен destination- ДНС имя или ip, передаваемые данные, ну и что за пакет, GET/не GET и т.п.). Затем делает новый пакет с подменённым файлом и отправляет дальше.

в пакете не содержится файл, но содержится путь к файлу
нужно подменять путь к файлу
(это самое простое)

g_u_e_s_t · 14.11.2011, 09:34

Сообщение от accept

на первом этапе можно написать прогу, которая работает только с правильными данными

Дык все мои вопросы о правильных, но ферментированных данных, ведь не кто и не где обещает, что заголовок любого GET запроса влезет в 1 TCP пакет (например только на тот же URL у nginx лимит 4К, а у апача 8Кб).
Т.е. простейший вариант будет работать, только когда получили полный заголовок (в данных пакета присутствует "\r\n\r\n") и после изменения URL размер пакета вместе с IP и TCP заголовками остался <= MTU.

Сообщение от accept

в пакете не содержится файл, но содержится путь к файлу

Это не совсем так, HTTP не запрещает иметь данные (request body) и в GET запросе.

accept · 14.11.2011, 10:16

Сообщение от g_u_e_s_t

Это не совсем так, HTTP не запрещает иметь данные (request body) и в GET запросе.

все варианты можно не рассматривать
может просто времени не хватить на обработку всех возможных ситуаций
GET - запрос, чтобы что-то получить
POST - запрос, чтобы сначала отправить какие-то данные, а потом что-то получить
ему, похоже, нужно при запросе какого-нибудь файла выдать другой файл

Сообщение от g_u_e_s_t

что заголовок любого GET запроса влезет в 1 TCP пакет (например только на тот же URL у nginx лимит 4К, а у апача 8Кб).

сначала нужно написать для таких, которые помещаются
(если будет готовая программа, то будет смысл её расширять
если не будет готовой программы, то не будет смысла её писать)

g_u_e_s_t · 14.11.2011, 10:36

Сообщение от accept

все варианты можно не рассматривать
может просто времени не хватить на обработку всех возможных ситуаций

Дык может самое время, не загонять себя в такую ситуацию (потребуется реализовать большой кусок TCP стека в своей программе), и пересмотреть подход в сторону проксирования, где прост нет таких проблем?

Сообщение от accept

ему, похоже, нужно при запросе какого-нибудь файла выдать другой файл

Ну ТС'e видней (наверное), что же нужно. Опять же, если "другой файл" может быть на другом сервере (кроме замены URL мы переписываем заголовок "Host:"), то все, приплыли...

Сообщение от accept

если будет готовая программа, то будет смысл её расширять

Это конечно дело вкуса, но я вот не вижу смысла начинать с тривиального не представляя хотя бы в общих чертах как должен работать финальный код.

accept · 14.11.2011, 11:35

Сообщение от g_u_e_s_t

Опять же, если "другой файл" может быть на другом сервере (кроме замены URL мы переписываем заголовок "Host:"), то все, приплыли...

программа может его качнуть и передавать обратно, как делала бы это, если бы передавала настоящий файл

Сообщение от g_u_e_s_t

Это конечно дело вкуса, но я вот не вижу смысла начинать с тривиального не представляя хотя бы в общих чертах как должен работать финальный код.

я против того, чтобы пытаться реализовать сотню функций (возможностей) сразу

g_u_e_s_t · 14.11.2011, 12:10

Сообщение от accept

программа может его качнуть и передавать обратно, как делала бы это, если бы передавала настоящий файл

Увы, нет не может.
Прокси - легко, а то, что ТС обозвал сниффером, не может, ведь SYN SYN/ACK к моменту когда мы видим HTTP запрос уже ушли в оригинальном направлении. Т.е. фактически не взяв на себя львиную долю ф-ций TCP стека, задача не решаема.
А поменять URL в пределах оригинального сервера, да, тривиально, думаю со всей мишурой можно уложиться в 500 строк кода...

Сообщение от accept

я против того, чтобы пытаться реализовать сотню функций (возможностей) сразу

Я ж говорю - дело вкуса...

Новые блоги и статьи Все статьи Все блоги /
Уведомление о неверно выбранном значении справочника Maks 06.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "НарядПутевка", разработанного в конфигурации КА2. Задача: уведомлять пользователя, если в документе выбран неверный склад. . .	Установка Qt Creator для C и C++: ставим среду, CMake и MinGW без фреймворка Qt 8Observer8 05.04.2026 Среду разработки Qt Creator можно установить без фреймворка Qt. Есть отдельный репозиторий для этой среды: https:/ / github. com/ qt-creator/ qt-creator, где можно скачать установщик, на вкладке Releases:. . .	AkelPad-скрипты, структуры, и немного лирики.. testuser2 05.04.2026 Такая программа, как AkelPad существует уже давно, и также давно существуют скрипты под нее. Тем не менее, прога живет, периодически что-то не спеша дополняется, улучшается. Что меня в первую очередь. . .	Отображение реквизитов в документе по условию и контроль их заполнения Maks 04.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "ПланированиеСпецтехники", разработанного в конфигурации КА2. Данный документ берёт данные из другого нетипового документа. . .
Фото всей Земли с борта корабля Orion миссии Artemis II kumehtar 04.04.2026 Это первое подобное фото сделанное человеком за 50 лет. Снимок называют новым вариантом легендарной фотографии «The Blue Marble» 1972 года, сделанной с борта корабля «Аполлон-17». Новое фото. . .	Вывод диалогового окна перед закрытием, если документ не проведён Maks 04.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "СписаниеМатериалов", разработанного в конфигурации КА2. Задача: реализовать программный контроль на предмет проведения документа. . .	Программный контроль заполнения реквизитов табличной части документа Maks 02.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "СписаниеМатериалов", разработанного в конфигурации КА2. Задача: 1. Реализовать контроль заполнения реквизита. . .	wmic не является внутренней или внешней командой Maks 02.04.2026 Решение: DISM / Online / Add-Capability / CapabilityName:WMIC~~~~ Отсюда: https:/ / winitpro. ru/ index. php/ 2025/ 02/ 14/ komanda-wmic-ne-naydena/

@Antisymmetrizer 1 / 1 / 0 Регистрация: 10.05.2010 Сообщений: 22

	http-сниффер 09.11.2011, 22:02. Показов 6232. Ответов 21 Метки нет (Все метки) Джентельмены! Подскажите, пожалуйста с чего начать. Любой соурс по теме очень нужен. В конечном счёте нужно получить программу, которая, сидя на маршрутизаторе, будет подменять передаваемые при http-соединении файлы. Т.е. в iptables настраиваем редирект на нашу прогу (это + ДНС я сделал). Затем прога выясняет свойства http-пакета (интересен destination- ДНС имя или ip, передаваемые данные, ну и что за пакет, GET/не GET и т.п.). Затем делает новый пакет с подменённым файлом и отправляет дальше. Вот собственно вопрос по курсивной части, как перехватить, развернуть пакет, завернуть новый, отослать на сервер и т.д.. Огромное спасибо за любой код, приближающий к решению проблемы! Писал в спешке, переписал более вдумчиво. Спасайте (( 0

g_u_e_s_t 1259 / 650 / 44 Регистрация: 06.02.2011 Сообщений: 1,654
	09.11.2011, 22:27
	Вообще не понятно, к чему все это... Имхо, идеологически правильнее для подобной задачи проксировать веб трафик. Если твердо решили извращаться с iptables, то смотрите в сторону libipq 0

@Antisymmetrizer 1 / 1 / 0 Регистрация: 10.05.2010 Сообщений: 22
	09.11.2011, 22:43 [ТС]
	Задание в институте такое, увы. Т.е. мы сможем получить все пакеты. Как из них отобрать по критериям- вот проблема.. Не знаю как подступиться ни к перехвату, ни к разбору. А сделать надо сокетами.. И под Линь. Убунту 10 в частности. 0

@Antisymmetrizer 1 / 1 / 0 Регистрация: 10.05.2010 Сообщений: 22
	11.11.2011, 21:06 [ТС]
	Неужель никто не знает? Перехват-то ещё могу состряпать.. и разбор.. А вот подмену.. Поможет кто? 0

@Antisymmetrizer 1 / 1 / 0 Регистрация: 10.05.2010 Сообщений: 22
	12.11.2011, 15:45 [ТС]
	Нашёл много кода, разбирающего ip, tcp и udp. Из проблем- разобрать http и сделать подмену файлов. Но первичнее разобрать.. Поможете? 0

Evg 21281 / 8305 / 637 Регистрация: 30.03.2009 Сообщений: 22,660 Записей в блоге: 30
	13.11.2011, 00:04
	Да автор как бы изначально постановку задачи определил, а назвать это "сниффер", "веник" или "пряник" - разницы особой нет 0