Discussion :

[guiyomh]

bonjour,
j'aime beaucoup ce que fait le logiciel wireshark, et je souhaiterais m'en inspirer pour faire un petit firewall. Je sais je suis pas prétentieux .

Mais je sais pas trop comment m'y prendre.

Comme j'aime bien réutiliser ce qui existe je me demandais s'il y avais possibiliter d'utiliser wireshark en le lançant en ligne de commande grâce à C, puis de parsé la sortie. Pour faire ensuite appliquer de règle de filtrage.

Le truc est que je crois pas que wireshark intervient sur les paquet ! il ne fait que les lire. Alors ma question est sur quel librairie je peux m'appuyer pour écouter et filtrer les contenu qui transite ?

sachant que je travaille sur linux, mais que je souhaiterais faire quelque chose qui fonctionne sur windows également.

Si vous avez des pistes ou des idées sur la manière de procéder, je suis preneurs.

[nicolas.sitbon]

bonjour,
j'aime beaucoup ce que fait le logiciel wireshark, et je souhaiterais m'en inspirer pour faire un petit firewall. Je sais je suis pas prétentieux .

Mais je sais pas trop comment m'y prendre.

Comme j'aime bien réutiliser ce qui existe je me demandais s'il y avais possibiliter d'utiliser wireshark en le lançant en ligne de commande grâce à C, puis de parsé la sortie. Pour faire ensuite appliquer de règle de filtrage.

Le truc est que je crois pas que wireshark intervient sur les paquet ! il ne fait que les lire. Alors ma question est sur quel librairie je peux m'appuyer pour écouter et filtrer les contenu qui transite ?

sachant que je travaille sur linux, mais que je souhaiterais faire quelque chose qui fonctionne sur windows également.

Si vous avez des pistes ou des idées sur la manière de procéder, je suis preneurs.

Il y a 2 bibliothèques pour faire ça, qui peuvent éventuellement être utilisées conjointement, et qui sont portables sous Unixoides et Windows :
-libpcap : http://www.tcpdump.org/
-libnet : http://www.packetfactory.net/libnet/
Cordialement.

[guiyomh]

merci pour la réponse.

Pour libPCAP, on m'as dit que ça servait uniquement pour lire les paquet, mais que l'on ne pouvait pas intervenir dessus. Est ce que tu me confirme ça ?

Je suppose que c'est là qu'intervient libnet ! Aurait tu des petit exemple simple ?

Et merci encore.

[KindPlayer]

ça t'aidera peut etre pas pour réaliser ton propre sniffer, mais pour une version "ligne de commande" de wireshark il y a tcpdump. Tu peux lancer quelques commandes avec le mode verbeux pour voir un peu ce qui est analysé.

[randriano]

En effet, c'est génial si quelqu'un pourrait confirmer si PCAP permet ou pas de modifier les trames au lieu de les lire seulement

Courage pour ton mini pare-feu guiyomh !!

[guiyomh]

merci randriano.
J'avoue que je patauge un peux. Je suis pas trop certain des librairie a utiliser.

Et je trouve pas de tuto montant des exemple de mise en oeuvre entre LibPCAP et libNET.

Donc effectivement si quelqun pouvais déjà me confirmer que l'on peux modifier les paquet avec libPCAP, ça me conforterais dans mon choix. Merci

[homeostasie]

merci randriano.
J'avoue que je patauge un peux. Je suis pas trop certain des librairie a utiliser.

Et je trouve pas de tuto montant des exemple de mise en oeuvre entre LibPCAP et libNET.

Donc effectivement si quelqun pouvais déjà me confirmer que l'on peux modifier les paquet avec libPCAP, ça me conforterais dans mon choix. Merci

En effet avec Libpcap, tu pourras récupérer les trames circulant sur le réseau et les modifier jusqu'au niveau 2 (ethernet). Tu peux donc générer tes propres trames.

[randriano]

Il est indiqué dans la FAQ de WinPcap qu'on ne peut pas l'utiliser pour faire un pare-feu! WinPcap is implemented as a protocol

Q-17: Can I use WinPcap to drop the incoming packets? Is it possible to use WinPcap to build a firewall?

A: No. WinPcap is implemented as a protocol, therefore it is able to capture the packets, but it can't be used to drop them before they reach the applications. The filtering capabilities of WinPcap work only on the sniffed packets. In order to intercept the packets before the TCP/IP stack, you must create an intermediate driver.

[ram-0000]

Je pense que la signification est la suivante :

Imaginons sur ta machine un serveur FTP classique et ton application construite avec libpcap (ou libnet) qui fait office de firewall.

Lorsqu'un paquet FTP arrive sur ta machine, les 2 application (aussi bien le serveur FTP que ton espèce de firewall) recoivent le paquet.

Le serveur FTP traite le paquet de manière normale (ouverture de session, transfert de fichier, ...) et ton firewall décide de rejeter le paquet (parce qu'il correspond au type de paquet que tu veux refuser dans ta politique de filtrage).

Qui a raison, que va devenir le paquet (rejeté ou traité ?) Y aura t'il une réponse à ce paquet, cela va être un beau foutoir sur le réseau.

Donc le texte en anglais a raison, pour intercepter les paquets avant qu'il ne soient traités par la machine, il faut développer un dirver intermédiaire (avec libpcap ou ce que tu veux pour autant que libpcap puisse fonctionner en mode driver ce dont je ne suis absolumment pas sûr)

[guiyomh]

ok, ça confirme bien ce que je pensais. Mais dans ce cas n'existe t'il pas autre chose pour faire comme tu dis un drivers qui capte et traite le paquet avant le logiciel FTP (pour ton exemple)

[ram-0000]

Si le DDK (Device Driver Kit) mais là, c'est une autre histoire

Ma 1ere réponse est un peu sèche alors je complète. Il y a un excellent livre Network Programming for Windows qui explique cela aussi.