http-сниффер

@Antisymmetrizer · Регистрация: 10.05.2010

Студворк — интернет-сервис помощи студентам

Джентельмены!

Подскажите, пожалуйста с чего начать. Любой соурс по теме очень нужен.
В конечном счёте нужно получить программу, которая, сидя на маршрутизаторе, будет подменять передаваемые при http-соединении файлы. Т.е. в iptables настраиваем редирект на нашу прогу (это + ДНС я сделал).
Затем прога выясняет свойства http-пакета (интересен destination- ДНС имя или ip, передаваемые данные, ну и что за пакет, GET/не GET и т.п.). Затем делает новый пакет с подменённым файлом и отправляет дальше.
Вот собственно вопрос по курсивной части, как перехватить, развернуть пакет, завернуть новый, отослать на сервер и т.д..
Огромное спасибо за любой код, приближающий к решению проблемы!

Писал в спешке, переписал более вдумчиво. Спасайте ((

g_u_e_s_t · 09.11.2011, 22:27

Вообще не понятно, к чему все это...
Имхо, идеологически правильнее для подобной задачи проксировать веб трафик.
Если твердо решили извращаться с iptables, то смотрите в сторону libipq

@Antisymmetrizer · 09.11.2011, 22:43 **[ТС]**

Задание в институте такое, увы.

Т.е. мы сможем получить все пакеты. Как из них отобрать по критериям- вот проблема.. Не знаю как подступиться ни к перехвату, ни к разбору.
А сделать надо сокетами.. И под Линь. Убунту 10 в частности.

@Antisymmetrizer · 11.11.2011, 21:06 **[ТС]**

Неужель никто не знает?
Перехват-то ещё могу состряпать.. и разбор.. А вот подмену.. Поможет кто?

g_u_e_s_t · 12.11.2011, 10:41

Сообщение от Antisymmetrizer

Перехват-то ещё могу состряпать.. и разбор.. А вот подмену.. Поможет кто?

А с чем конкретно проблема то?
Если Вы уже осилили "разбор", то вставить что угодно в пакет, не забыв обновить TCP и IP заголовки ну просто детская задача по сравнению с "разобрать".

@Antisymmetrizer · 12.11.2011, 15:45 **[ТС]**

Нашёл много кода, разбирающего ip, tcp и udp.
Из проблем- разобрать http и сделать подмену файлов. Но первичнее разобрать.. Поможете?

g_u_e_s_t · 12.11.2011, 16:41

Сообщение от Antisymmetrizer

Из проблем- разобрать http и сделать подмену файлов. Но первичнее разобрать.. Поможете?

Вряд ли, конкретных вопросов у Вас по прежнему нет, а у меня в голове не укладывается как сниффер может влиять на трафик.

PS: как человек осиливший хотя бы пересборку фрагментированных TCP пакетов может иметь затруднения с разбором строки вида "METHOD :space: URL :space: HTTP/x.y\r\n"|"NAME: :space: VALUE\r\n"???

@niXman · 12.11.2011, 21:49

Сообщение от g_u_e_s_t

у меня в голове не укладывается как сниффер может влиять на трафик.

я за темой следил, и все надеялся, что он все же умеет

википедия про сниффер говорит то, что я и так знал. но я все же решил заглянуть, вдруг я что-то путаю.

Анализатор трафика, или сниффер (от англ. to sniff — нюхать) — сетевой анализатор трафика, программа или программно-аппаратное устройство, предназначенное для перехвата и последующего анализа, либо только анализа сетевого трафика, предназначенного для других узлов.
Сниффер может анализировать только то, что проходит через его сетевую карту. Внутри одного сегмента сети Ethernet все пакеты рассылаются всем машинам, из-за этого возможно перехватывать чужую информацию. Использование коммутаторов (switch, switch-hub) и их грамотная конфигурация уже является защитой от прослушивания. Между сегментами информация передаётся через коммутаторы. Коммутация пакетов — форма передачи, при которой данные, разбитые на отдельные пакеты, могут пересылаться из исходного пункта в пункт назначения разными маршрутами. Так что если кто-то в другом сегменте посылает внутри его какие-либо пакеты, то в ваш сегмент коммутатор эти данные не отправит.

Antisymmetrizer, тебе нужна прокся. в таком случае ты можешь фильтровать/изменять проходящий через нее траф.

Evg · 13.11.2011, 00:04

Да автор как бы изначально постановку задачи определил, а назвать это "сниффер", "веник" или "пряник" - разницы особой нет

accept · 13.11.2011, 08:09

Сообщение от Antisymmetrizer

Затем делает новый пакет с подменённым файлом и отправляет дальше.

новый пакет содержит новый путь к файлу, скорее всего
старый пакет остаётся

ищи средство разбора tcp-пакета
ищи средство формирования tcp-пакета
разобрав tcp-пакет, выделяй оттуда путь и формируй новый tcp-пакет
(там ещё какие-то данные, их можно повторить или создать новые)
сначала делай для GET-запроса

@niXman · 13.11.2011, 08:47

Сообщение от Evg

а назвать это "сниффер", "веник" или "пряник" - разницы особой нет

ага. терминологию придумали задроты.

g_u_e_s_t · 13.11.2011, 11:22

Сообщение от Evg

Да автор как бы изначально постановку задачи определил

Ну не знаю, обозвать 1й и последующий пост ТС'а постановкой задачи как-то слишком сильно...

Сообщение от Evg

а назвать это "сниффер", "веник" или "пряник" - разницы особой нет

Вы не правы, я вот до сих пор не могу понять, идет речь все-таки о проксировании или о том, что называется fuzzer т.к. не смотря на схожий внешний эффект вещи совершенно разные.

Evg · 13.11.2011, 13:04

Сообщение от g_u_e_s_t

Вы не правы, я вот до сих пор не могу понять, идет речь все-таки о проксировании или о том, что называется fuzzer т.к. не смотря на схожий внешний эффект вещи совершенно разные.

Ему нужно, чтобы на вход маршрутизатора подавался файл А, а на выходе (только для конкретного dst-адреса) формировался файл A-штрих, но при этом маршрутизатор делал бы вид, что так всё и было. Как оно называется, мне как-то впадлу разбираться

g_u_e_s_t · 13.11.2011, 15:04

Сообщение от Evg

Ему нужно, чтобы на вход маршрутизатора подавался файл А, а на выходе (только для конкретного dst-адреса) формировался файл A-штрих, но при этом маршрутизатор делал бы вид, что так всё и было

Не, ну может это и сойдет за Т.З. для чайников/идиотов, но сформулировав так, нормального ответа не будет. А ведь тема, то интересная...
Что бы советовать ТСу что-то вменяемое, требуется нормальная формулировка задачи, например:
1. с помощью iptables завернуть весь трафик идущий с хоста A на хост B:80 в программу (-j QUEUE N)
2. ждать 1й пакет с не нулевым tcp-payload, пропуская остальные без имений.
3. Убедиться, что пакет HTTP
3. А вот тут и начинается самое веселье:
Что будем делать если мы получили фрагмент запроса? (например "GET / H")
Что делать если заголовок HTTP запроса получен, а данные нет?
Что делать с пакетами которые нам не нужны? (переписали данные в HTTP не забыв поправить Content-Length и знаем что данных стало меньше на 100kб)
Таких вопросов с десяток. От ответов на них зависит какую часть TCP стека придется написать ручками (точнее утащить откуда нибудь)
И пока на них нет ответов, это не топик, а детский лепит из серии "ПОМОГИТЕ!!!")

accept · 14.11.2011, 00:58

Сообщение от g_u_e_s_t

Что будем делать если мы получили фрагмент запроса? (например "GET / H")

пропускать его дальше без изменений

Сообщение от g_u_e_s_t

Что делать если заголовок HTTP запроса получен, а данные нет?

пропускать его дальше без изменений

Сообщение от g_u_e_s_t

Что делать с пакетами которые нам не нужны?

пропускать их дальше без изменений

на первом этапе можно написать прогу, которая работает только с правильными данными

Сообщение от g_u_e_s_t

Что бы советовать ТСу что-то вменяемое, требуется нормальная формулировка задачи

Сообщение от Antisymmetrizer

Затем прога выясняет свойства http-пакета (интересен destination- ДНС имя или ip, передаваемые данные, ну и что за пакет, GET/не GET и т.п.). Затем делает новый пакет с подменённым файлом и отправляет дальше.

в пакете не содержится файл, но содержится путь к файлу
нужно подменять путь к файлу
(это самое простое)

g_u_e_s_t · 14.11.2011, 09:34

Сообщение от accept

на первом этапе можно написать прогу, которая работает только с правильными данными

Дык все мои вопросы о правильных, но ферментированных данных, ведь не кто и не где обещает, что заголовок любого GET запроса влезет в 1 TCP пакет (например только на тот же URL у nginx лимит 4К, а у апача 8Кб).
Т.е. простейший вариант будет работать, только когда получили полный заголовок (в данных пакета присутствует "\r\n\r\n") и после изменения URL размер пакета вместе с IP и TCP заголовками остался <= MTU.

Сообщение от accept

в пакете не содержится файл, но содержится путь к файлу

Это не совсем так, HTTP не запрещает иметь данные (request body) и в GET запросе.

accept · 14.11.2011, 10:16

Сообщение от g_u_e_s_t

Это не совсем так, HTTP не запрещает иметь данные (request body) и в GET запросе.

все варианты можно не рассматривать
может просто времени не хватить на обработку всех возможных ситуаций
GET - запрос, чтобы что-то получить
POST - запрос, чтобы сначала отправить какие-то данные, а потом что-то получить
ему, похоже, нужно при запросе какого-нибудь файла выдать другой файл

Сообщение от g_u_e_s_t

что заголовок любого GET запроса влезет в 1 TCP пакет (например только на тот же URL у nginx лимит 4К, а у апача 8Кб).

сначала нужно написать для таких, которые помещаются
(если будет готовая программа, то будет смысл её расширять
если не будет готовой программы, то не будет смысла её писать)

g_u_e_s_t · 14.11.2011, 10:36

Сообщение от accept

все варианты можно не рассматривать
может просто времени не хватить на обработку всех возможных ситуаций

Дык может самое время, не загонять себя в такую ситуацию (потребуется реализовать большой кусок TCP стека в своей программе), и пересмотреть подход в сторону проксирования, где прост нет таких проблем?

Сообщение от accept

ему, похоже, нужно при запросе какого-нибудь файла выдать другой файл

Ну ТС'e видней (наверное), что же нужно. Опять же, если "другой файл" может быть на другом сервере (кроме замены URL мы переписываем заголовок "Host:"), то все, приплыли...

Сообщение от accept

если будет готовая программа, то будет смысл её расширять

Это конечно дело вкуса, но я вот не вижу смысла начинать с тривиального не представляя хотя бы в общих чертах как должен работать финальный код.

accept · 14.11.2011, 11:35

Сообщение от g_u_e_s_t

Опять же, если "другой файл" может быть на другом сервере (кроме замены URL мы переписываем заголовок "Host:"), то все, приплыли...

программа может его качнуть и передавать обратно, как делала бы это, если бы передавала настоящий файл

Сообщение от g_u_e_s_t

Это конечно дело вкуса, но я вот не вижу смысла начинать с тривиального не представляя хотя бы в общих чертах как должен работать финальный код.

я против того, чтобы пытаться реализовать сотню функций (возможностей) сразу

g_u_e_s_t · 14.11.2011, 12:10

Сообщение от accept

программа может его качнуть и передавать обратно, как делала бы это, если бы передавала настоящий файл

Увы, нет не может.
Прокси - легко, а то, что ТС обозвал сниффером, не может, ведь SYN SYN/ACK к моменту когда мы видим HTTP запрос уже ушли в оригинальном направлении. Т.е. фактически не взяв на себя львиную долю ф-ций TCP стека, задача не решаема.
А поменять URL в пределах оригинального сервера, да, тривиально, думаю со всей мишурой можно уложиться в 500 строк кода...

Сообщение от accept

я против того, чтобы пытаться реализовать сотню функций (возможностей) сразу

Я ж говорю - дело вкуса...

Новые блоги и статьи Все статьи Все блоги /
Загрузка PNG-файла с альфа-каналом с помощью библиотеки SDL3_image на Android 8Observer8 27.01.2026 Содержание блога SDL3_image - это библиотека для загрузки и работы с изображениями. Эта пошаговая инструкция покажет, как загрузить и вывести на экран смартфона картинку с альфа-каналом, то есть с. . .	влияние грибов на сукцессию anaschu 26.01.2026 Бифуркационные изменения массы гриба происходят тогда, когда мы уменьшаем массу компоста в 10 раз, а скорость прироста биомассы уменьшаем в три раза. Скорость прироста биомассы может уменьшаться за. . .	Воспроизведение звукового файла с помощью SDL3_mixer при касании экрана Android 8Observer8 26.01.2026 Содержание блога SDL3_mixer - это библиотека я для воспроизведения аудио. В отличие от инструкции по добавлению текста код по проигрыванию звука уже содержится в шаблоне примера. Нужно только. . .	Установка Android SDK, NDK, JDK, CMake и т.д. 8Observer8 25.01.2026 Содержание блога Перейдите по ссылке: https:/ / developer. android. com/ studio и в самом низу страницы кликните по архиву "commandlinetools-win-xxxxxx_latest. zip" Извлеките архив и вы увидите. . .
Вывод текста со шрифтом TTF на Android с помощью библиотеки SDL3_ttf 8Observer8 25.01.2026 Содержание блога Если у вас не установлены Android SDK, NDK, JDK, и т. д. то сделайте это по следующей инструкции: Установка Android SDK, NDK, JDK, CMake и т. д. Сборка примера Скачайте. . .	Использование SDL3-callbacks вместо функции main() на Android, Desktop и WebAssembly 8Observer8 24.01.2026 Содержание блога Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а. . .	моя боль iceja 24.01.2026 Выложила интерполяцию кубическими сплайнами www. iceja. net REST сервисы временно не работают, только через Web. Написала за 56 рабочих часов этот сайт с нуля. При помощи perplexity. ai PRO , при. . .	Модель сукцессии микоризы anaschu 24.01.2026 Решили писать научную статью с неким РОманом

@Antisymmetrizer 1 / 1 / 0 Регистрация: 10.05.2010 Сообщений: 22

	http-сниффер 09.11.2011, 22:02. Показов 6148. Ответов 21 Метки нет (Все метки) Джентельмены! Подскажите, пожалуйста с чего начать. Любой соурс по теме очень нужен. В конечном счёте нужно получить программу, которая, сидя на маршрутизаторе, будет подменять передаваемые при http-соединении файлы. Т.е. в iptables настраиваем редирект на нашу прогу (это + ДНС я сделал). Затем прога выясняет свойства http-пакета (интересен destination- ДНС имя или ip, передаваемые данные, ну и что за пакет, GET/не GET и т.п.). Затем делает новый пакет с подменённым файлом и отправляет дальше. Вот собственно вопрос по курсивной части, как перехватить, развернуть пакет, завернуть новый, отослать на сервер и т.д.. Огромное спасибо за любой код, приближающий к решению проблемы! Писал в спешке, переписал более вдумчиво. Спасайте (( 0

g_u_e_s_t 1259 / 650 / 44 Регистрация: 06.02.2011 Сообщений: 1,654
	09.11.2011, 22:27
	Вообще не понятно, к чему все это... Имхо, идеологически правильнее для подобной задачи проксировать веб трафик. Если твердо решили извращаться с iptables, то смотрите в сторону libipq 0

@Antisymmetrizer 1 / 1 / 0 Регистрация: 10.05.2010 Сообщений: 22
	09.11.2011, 22:43 [ТС]
	Задание в институте такое, увы. Т.е. мы сможем получить все пакеты. Как из них отобрать по критериям- вот проблема.. Не знаю как подступиться ни к перехвату, ни к разбору. А сделать надо сокетами.. И под Линь. Убунту 10 в частности. 0

@Antisymmetrizer 1 / 1 / 0 Регистрация: 10.05.2010 Сообщений: 22
	11.11.2011, 21:06 [ТС]
	Неужель никто не знает? Перехват-то ещё могу состряпать.. и разбор.. А вот подмену.. Поможет кто? 0

@Antisymmetrizer 1 / 1 / 0 Регистрация: 10.05.2010 Сообщений: 22
	12.11.2011, 15:45 [ТС]
	Нашёл много кода, разбирающего ip, tcp и udp. Из проблем- разобрать http и сделать подмену файлов. Но первичнее разобрать.. Поможете? 0

Evg 21281 / 8305 / 637 Регистрация: 30.03.2009 Сообщений: 22,660 Записей в блоге: 30
	13.11.2011, 00:04
	Да автор как бы изначально постановку задачи определил, а назвать это "сниффер", "веник" или "пряник" - разницы особой нет 0