Здравствуйте, donkombat, Вы писали:
D>Для этого нужен роутер, который заменит ip адреса? Или это можно реализовать программно? Есть возможность поставить TDI драйвер и в траффике от процесса tcpreplay32.exe подменять dst ip адрес. Или есть варианты проще и лучше?
Не-не, хаб он сам по себе дублирует все поступающие на какой-нибудь порт данные на всех остальных портах.
TDI тут не поможет, т.к. tcpreplay работает через NDIS, а это ниже TDI.
С уважением,
Евгений
Re[20]: Грабим траффик и потом используем награбленное
Здравствуйте, -prus-, Вы писали:
P>Здравствуйте, donkombat, Вы писали:
P>Не, он просто пробрасывает пакеты через интерфейс не устанавливая ни с кем соединений. P>Попробуй wireshark'ом посмотри, идет ли трафик через выбранный тобою интерфейс.
Идет и трафик тот что надо! только IP адреса другие. В оригинале есть IP: 212.58.251.197 : 192.168.3.189, я вызываю tcpreplay -i ... -s 1.1.1.1:2.2.2.2 test.pcap и эта пара превращается в 107.4.231.52 : 233.168.3.189
Т.е либо 1.1.1.1 и 2.2.2.2 накладываются как маска и можно предугадать какой IP получится в итоге, либо алгоритм выбора пары IP при задании параметра -s псевдослучайный
Re[21]: Грабим траффик и потом используем награбленное
Здравствуйте, donkombat, Вы писали:
D>Идет и трафик тот что надо! только IP адреса другие. В оригинале есть IP: 212.58.251.197 : 192.168.3.189, я вызываю tcpreplay -i ... -s 1.1.1.1:2.2.2.2 test.pcap и эта пара превращается в 107.4.231.52 : 233.168.3.189 D>Т.е либо 1.1.1.1 и 2.2.2.2 накладываются как маска и можно предугадать какой IP получится в итоге, либо алгоритм выбора пары IP при задании параметра -s псевдослучайный
Ну вот разобрался, молодец
Ты поэкспериментируй еще и все ок будет .
С уважением,
Евгений
Re[19]: Грабим траффик и потом используем награбленное
Здравствуйте, -prus-, Вы писали:
P>Не-не, хаб он сам по себе дублирует все поступающие на какой-нибудь порт данные на всех остальных портах. P>TDI тут не поможет, т.к. tcpreplay работает через NDIS, а это ниже TDI.
Ставлю на машину А свой NDIS с сигнатурой атаки и запускаю wireshark, чтобы собирать трафик. Атакую с машины B. Драйвер логирует атаку, траффик сохраняю в файл. На машине с драйвером запускаю tcpreplay с целью воспроизвести атаку без участия машины B. В wireshark вижу что "трасса воспроизвелась", при этом драйвер атаку не задектировал. Тестировал 5 раз. Получается, что мой NDIS не цепляет пакеты, возникающие при работе tcpreplay? При атаке с машины В в любой момент времени атака детектируется.
Re[20]: Грабим траффик и потом используем награбленное
Здравствуйте, donkombat, Вы писали:
D>В wireshark вижу что "трасса воспроизвелась", при этом драйвер атаку не задектировал. Тестировал 5 раз. Получается, что мой NDIS не цепляет пакеты, возникающие при работе tcpreplay? При атаке с машины В в любой момент времени атака детектируется.
А твой драйвер пакеты видит вообще при раскладе, когда tcpreplay запускаешь на той же машине?
С уважением,
Евгений
Re[21]: Грабим траффик и потом используем награбленное
Здравствуйте, -prus-, Вы писали:
P>Здравствуйте, donkombat, Вы писали:
D>>В wireshark вижу что "трасса воспроизвелась", при этом драйвер атаку не задектировал. Тестировал 5 раз. Получается, что мой NDIS не цепляет пакеты, возникающие при работе tcpreplay? При атаке с машины В в любой момент времени атака детектируется.
P>А твой драйвер пакеты видит вообще при раскладе, когда tcpreplay запускаешь на той же машине?
нет! проанализировал логи DbgView.exe
буду разбираться. понятно, что если удастся заставить tcpreplay повторить pcap на нужный ip то все заработает, так что первым делом попытаюсь задать в tcpreplay нужные ip!
Re[22]: Грабим траффик и потом используем награбленное
D>Здравствуйте, -prus-, Вы писали:
P>>Здравствуйте, donkombat, Вы писали:
D>>>В wireshark вижу что "трасса воспроизвелась", при этом драйвер атаку не задектировал. Тестировал 5 раз. Получается, что мой NDIS не цепляет пакеты, возникающие при работе tcpreplay? При атаке с машины В в любой момент времени атака детектируется.
P>>А твой драйвер пакеты видит вообще при раскладе, когда tcpreplay запускаешь на той же машине?
D>нет! проанализировал логи DbgView.exe
D>буду разбираться. понятно, что если удастся заставить tcpreplay повторить pcap на нужный ip то все заработает, так что первым делом попытаюсь задать в tcpreplay нужные ip!
Я временно избежал необходимости указывать tcpreplay ip адреса отправителя и получателя. Я меняю IP машин самостоятельно и потом делаю tcpreplay pcap файлам, содержащим траффик между подобными ip. Возникает затруднение: трафик TCP/UDP, SMB протоколов воспроизводится и я его ловлю на целевой машине драйвером и сниффером. А вот траффик DCERPC, ISystemA не воспроизводится tcpreplay'ем. Его нет в снифферах на обоих машинах.
FAQ по tcpreplay:
In theory, ICMP and UDP based protocols should work fine if the MAC and IP addresses are correct. You can fix them using tcprewrite. However, some ICMP and UDP based protocols also carry Layer 3/4 protocol information in the protocol itself (SIP is one example), so if you change the IP addresses, it may not be a valid SIP packet anymore.
Как обойти эту ситуацию?
Re[23]: Грабим траффик и потом используем награбленное
Здравствуйте, donkombat, Вы писали:
D>Я меняю IP машин самостоятельно и потом делаю tcpreplay pcap файлам, содержащим траффик между подобными ip. D>In theory, ICMP and UDP based protocols should work fine if the MAC and IP addresses are correct. You can fix them using tcprewrite. However, some ICMP and UDP based protocols also carry Layer 3/4 protocol information in the protocol itself (SIP is one example), so if you change the IP addresses, it may not be a valid SIP packet anymore. D>Как обойти эту ситуацию?
Тебе не нужно менять адреса, а необходимо организовать либо прямое подключение между двумя машинами, либо через хаб и потом пулять трафик через указанный интерфейс на одной из машин. В этом случае тот трафик, который ты пуляешь будет в неизменном виде виден на другой стороне.
С уважением,
Евгений
Re[24]: Грабим траффик и потом используем награбленное
Здравствуйте, -prus-, Вы писали:
P>Тебе не нужно менять адреса, а необходимо организовать либо прямое подключение между двумя машинами, либо через хаб и потом пулять трафик через указанный интерфейс на одной из машин. В этом случае тот трафик, который ты пуляешь будет в неизменном виде виден на другой стороне.
Вот я насобирал валидного траффика, работая с интернетом с 192.168.3.148 IP. Потом выбросил из получившегося pcap все лишнее, кроме траффика с 192.168.3.148 IP. И теперь соединяю два компа через хаб, у одного делаю IP=192.168.3.148, а на другом tcpreplay собранная трасса. В итоге я должен добиться воспроизведения серфинга по интернету, верно?
Re[25]: Грабим траффик и потом используем награбленное
Здравствуйте, donkombat, Вы писали:
D>Вот я насобирал валидного траффика, работая с интернетом с 192.168.3.148 IP. Потом выбросил из получившегося pcap все лишнее, кроме траффика с 192.168.3.148 IP. И теперь соединяю два компа через хаб, у одного делаю IP=192.168.3.148, а на другом tcpreplay собранная трасса. В итоге я должен добиться воспроизведения серфинга по интернету, верно?
Теперь берешь и пуляешь трафик через интерфейс на компе с tcpreplay. А на 192.168.3.148 слушаешь его.
С уважением,
Евгений
Re[26]: Грабим траффик и потом используем награбленное
Здравствуйте, -prus-, Вы писали:
P>Здравствуйте, Billi88, Вы писали:
B>> парни киньте пожалуйста тоже бинарник с библиотекой.зашиваюсь копец
P>А что нужно-то?
exe -ник tcpreplay для винды
Re[30]: Грабим траффик и потом используем награбленное
Здравствуйте, -prus-, Вы писали:
P>Здравствуйте, Андрей, Вы писали:
А>>exe -ник tcpreplay для винды
P>Ну так почту давай
bacek_2004@mail.ru
честно говоря все оказалось довольно просто.поставил Ubuntu.там все есть и щас с виртуалки пуляю.извиняюсь за панику.но от exe-ника не откажесь.спасибо)
Re[32]: Грабим траффик и потом используем награбленное
Здравствуйте, Андрей, Вы писали:
А>честно говоря все оказалось довольно просто.поставил Ubuntu.там все есть и щас с виртуалки пуляю.извиняюсь за панику.но от exe-ника не откажесь.спасибо)
.
парни киньте пожалуйста тоже бинарник с библиотекой.зашиваюсь копец
