1

我正在编写一个程序,该程序对网关和主机执行 ARP 欺骗攻击,然后尝试捕获它们之间的 HTTP 流量并在浏览器上呈现 Web 会话。我正在为这些使用 libnet 和 pcap。

我已经成功地进行了欺骗,现在我正在尝试进行中继,程序在其中实现主机和网关之间的虚拟连接。

我在处理 TCP 事务时遇到问题。当主机需要一个页面时,它首先尝试通过发送 TCP SYN 数据包与攻击者建立 TCP 连接(因为它已经被欺骗了)。问题是我的机器(攻击者)没有响应 SYN,然后受害者重试连接,发送了一堆 SYN 重传。

在我的脑海中,我认为 TCP 连接是由 pcap(或内核)自动建立的。是否有任何配置或参数来设置这个,或者我需要自己执行 TCP 事务?如果是这样,是否有任何建议可以使其具有最高性能?

谢谢指教。

观察:为了过滤 HTTP 请求,我在 pcap 上使用以下过滤器,可在其手册页上找到

tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)
4

2 回答 2

1

Libpcap 是一个用于读取原始网络数据包的库,并在带有pcap_sendpacket()/的版本中pcap_inject()发送原始网络数据包。“原始网络数据包”是指原始链路层数据包;如果您想伪装成 TCP 实现,则必须在原始数据包读取/发送机制之上提供您自己的 TCP 实现——以及 IPv4 或 IPv6。

于 2015-06-15T18:20:36.460 回答
0

好的,对于任何碰到这个话题的人,我找到了一个聪明的方法来实现受害者和服务器之间的连接(我猜这是正确的方法)。

不要执行两个连接来发送 HTTP 消息,一个与网关,另一个与受害者,您必须只让 TCP SYN、ACK 和其他任何东西通过。你的行为就像一个“管道”。

因此,当您从受害者那里收到 SYN 时,只需将其发送到网关,网关会将其传递到服务器并以 SYN ACK 进行应答。当然,您必须伪造发送者和目标的以太网标头,以验证欺骗。

于 2015-08-08T20:51:31.343 回答