Здравствуйте, мыщъх, Вы писали:

М> и отслеживание IP заливающего. это же хакер ясное дело. скачивают сплоиты многие придурки (и поисковики), а вот закачивают... но никому этот функционал не нужен. и никого из наших кастомеров он не возбуждает. может, вам пригодится

Несомненно. Однако, как показывает практика, практически все случаи атак из вне идет через прокси. Поэтому IP не всегда нужный.
У Вас там случаем не велись какие-нить работы по выявлению атакующего по трафику, если он за проксей или цепочкой проксей сидит?
Это, понимаю, практически невозможно, но все-таки...

Здравствуйте, мыщъх, Вы писали:

...

Крис, я Вам намылил на оба ящика.

Здравствуйте, -prus-, Вы писали:

P>Для этого тебе понадобится 2 VMWare, tcpdump или windump, tcpreplay.
P>На одну виртуалку ставишь, например, Linux. На вторую — Windows. Настраиваешь сетевухи у виртуалок. Запускаешь червя на Windows.
P>Запускаешь на Linux'e tcpdump и начинаешь перехватывать трафик и записываешь его в файлы. Тем самым ты сформируешь дампы с "червячным" трафиком.
P>Далее отрубаешь червя и с помощью tcpreplay с Linux'овой виртуалки пуляешь сколько угодно трафик на Windows машину, где у тебя работает твоя разработка.

А без Linux можно это организовать?

Здравствуйте, donkombat, Вы писали:

D>Здравствуйте, -prus-, Вы писали:

P>>Для этого тебе понадобится 2 VMWare, tcpdump или windump, tcpreplay.
P>>На одну виртуалку ставишь, например, Linux. На вторую — Windows. Настраиваешь сетевухи у виртуалок. Запускаешь червя на Windows.
P>>Запускаешь на Linux'e tcpdump и начинаешь перехватывать трафик и записываешь его в файлы. Тем самым ты сформируешь дампы с "червячным" трафиком.
P>>Далее отрубаешь червя и с помощью tcpreplay с Linux'овой виртуалки пуляешь сколько угодно трафик на Windows машину, где у тебя работает твоя разработка.

D>А без Linux можно это организовать?
Да вроде, да. надо cygwin ставить.

Здравствуйте, donkombat, Вы писали:

D>>А без Linux можно это организовать?
D>Да вроде, да. надо cygwin ставить.

Можно все на Windows сделать...
Нужен windump и tcpreply для Windows. В сети исходники tcpreply для виндов были, поищи... Не найдешь, пришлю.

Здравствуйте, -prus-, Вы писали:

P>Можно все на Windows сделать...
P>Нужен windump и tcpreply для Windows. В сети исходники tcpreply для виндов были, поищи... Не найдешь, пришлю.

Я себе уже Cygwin поставил. Хочу поработать с ним. Если часов до 14.00 не получится, то поищу исходники tcprelay.

Здравствуйте, -prus-, Вы писали:

P>Можно все на Windows сделать...
P>В сети исходники tcpreply для виндов были, поищи... Не найдешь, пришлю.
Выложите их пожалуйста, или на почту: donkombat@gmail.com Спасибо!

Здравствуйте, donkombat, Вы писали:

D>Выложите их пожалуйста, или на почту: donkombat@gmail.com Спасибо!

Ок, только завтра смогу это сделать. Постараюсь с утра...

Здравствуйте, donkombat, Вы писали:

D>Выложите их пожалуйста, или на почту: donkombat@gmail.com Спасибо!

Вот скачать можешь отсюда (tcpreplay win32).
Там правда какие-то проблемы были при сборке. Нужно повозиться будет.
Попробуй разберись. Если будут трудности, то попробую бинарник найти и прислать.
Пиши, если что.

Здравствуйте, -prus-, Вы писали:

P>Здравствуйте, donkombat, Вы писали:

D>>Выложите их пожалуйста, или на почту: donkombat@gmail.com Спасибо!

P>Вот скачать можешь отсюда (tcpreplay win32).
P>Там правда какие-то проблемы были при сборке. Нужно повозиться будет.
P>Попробуй разберись. Если будут трудности, то попробую бинарник найти и прислать.
P>Пиши, если что.

При сборке много ругается так:

Error 17 error C3163: '_vsnprintf': attributes inconsistent with previous declaration C:\Program Files\Microsoft Visual Studio 9.0\VC\include\stdio.h 358 wpcap

Я иду в google и нахожу там: Search in the LibXML project and replace all the symbols 'vsnprintf' to '_vsnprintf'. also comment out
#define vsnprintf(b,c,f,a) _vsnprintf(b,c,f,a)
Но LibXML не используется в проектах, поэтому комментирую дефайн в stdio.h
Собираю, просит libpcap.lib по понятным причинам я кормлю ему libpcap.lib и получаю еще 32 ошибки линкера.
Пока оставлю, и попробую собрать под Cygwin'om линуксовые версии.

Здравствуйте, donkombat, Вы писали:

D>Собираю, просит libpcap.lib по понятным причинам я кормлю ему libpcap.lib и получаю еще 32 ошибки линкера.

Ага, мы тоже долго его собирали и в итоге получилось.
Я тебе на почту сбросил бинарник и библиотеку.
Установи winpcap и попробуй.

Здравствуйте, -prus-, Вы писали:

P>Ага, мы тоже долго его собирали и в итоге получилось.
P>Я тебе на почту сбросил бинарник и библиотеку.
P>Установи winpcap и попробуй.

Круто работает! у меня был pcap файл и я восстановил из него трафик на своей машине завтра еще научусь пулять траффик с одной машины на другую!

Здравствуйте, donkombat, Вы писали:

D>Круто работает! у меня был pcap файл и я восстановил из него трафик на своей машине завтра еще научусь пулять траффик с одной машины на другую!

Ага, давай. Успеха!

Здравствуйте, -prus-, Вы писали:

P>Здравствуйте, donkombat, Вы писали:

D>>Круто работает! у меня был pcap файл и я восстановил из него трафик на своей машине завтра еще научусь пулять траффик с одной машины на другую!

P>Ага, давай. Успеха!

Есть у меня pcap. Я хочу повторить траффик поменяв Src/Dst IP. Посмотрел что об этом пишут на форумах и в мануалах и нашел:
./tcpreplay -i eth0 -e 1.1.1.1:2.2.2.2 test.pcap : у меня нет -e, использовал -s:
./tcpreplay -i 1 -s 1.1.1.1:2.2.2.2 test.pcap — не отрабатывает
пробовал убрать -i тоже не работает. За трафиком следил с помощью wireshark.
Подскажите как можно это организовать. Спасибо.

Здравствуйте, donkombat, Вы писали:

D>./tcpreplay -i 1 -s 1.1.1.1:2.2.2.2 test.pcap — не отрабатывает
D>пробовал убрать -i тоже не работает. За трафиком следил с помощью wireshark.
D>Подскажите как можно это организовать. Спасибо.

Попробуй после -i поставить название интерфейса из реестра

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkCards

Разверни узел и там увидешь узлы с цифирками. Если у тебя несколько сетевых интерфейсов, то там будет несколько узлов. Выбери нужный.
В ключе ServiceName будет GUID карточки. Прибавь его к \Device и попробуй.

Т.е. что-то вроде того должно получиться

./tcpreplay -i \Device\{D49F0DE6-A70B-445F-97B3-4E9516137E86} -s 1.1.1.1:2.2.2.2 test.pcap

Мы вообще пуляем трафик через хаб, поэтому просто указываем интерфейс и файл, т.е. IP не заменяем.
Попробуй также организовать у себя соединение по типу хаба, если не получится, как выше описано.

Здравствуйте, -prus-, Вы писали:

...

Или ты это под Linux'ом делаешь?

Здравствуйте, -prus-, Вы писали:

P>Или ты это под Linux'ом делаешь?
под Windows, сейчас попробую.

Здравствуйте, -prus-, Вы писали:

Попробовал, пока не получается, буду тренироваться еще

P>Мы вообще пуляем трафик через хаб, поэтому просто указываем интерфейс и файл, т.е. IP не заменяем.
P>Попробуй также организовать у себя соединение по типу хаба, если не получится, как выше описано.

Для этого нужен роутер, который заменит ip адреса? Или это можно реализовать программно? Есть возможность поставить TDI драйвер и в траффике от процесса tcpreplay32.exe подменять dst ip адрес. Или есть варианты проще и лучше?

>Есть возможность поставить TDI драйвер и в траффике от процесса tcpreplay32.exe подменять dst ip адрес.
попробовал, не отрабатывает. tcp_replay.exe пояавляется в списке процессов, но в tcpview.exe его не видно (он не создает соединений)

Здравствуйте, donkombat, Вы писали:

>>Есть возможность поставить TDI драйвер и в траффике от процесса tcpreplay32.exe подменять dst ip адрес.
D>попробовал, не отрабатывает. tcp_replay.exe пояавляется в списке процессов, но в tcpview.exe его не видно (он не создает соединений)

Не, он просто пробрасывает пакеты через интерфейс не устанавливая ни с кем соединений.
Попробуй wireshark'ом посмотри, идет ли трафик через выбранный тобою интерфейс.