Discussion :

[guiyomh]

Bonjour,

j'ai fai un petit sniffer de packet avec libpcap, pour l'instant il ne fait que compté les paquets qui passe sur le port 80.

je faits :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
void got_packet(u_char *args, const struct pcap_pkthdr *header,const u_char *packet)
	{
		static int count = 1;
		printf("%d - Jacked a packet with length of []\n",count);
		count++;
	}

mais j'aimerais pouvoir lire ce qui passe pour le filtrer.

Par exemple interdire les requêtes vers certain nom de domaine.


voici la façon dont je vois les chose :

• je capte tous les paquets qui constitue une requête http sur le port 80
• je reconstitue la requête et j'obtien un truc tu genre :
  

  GET http://www.developpez.net HTTP/1.0
  
  Accept : text/html
  If-Modified-Since : Saturday, 15-January-2000 14:37:11 GMT
  User-Agent : Mozilla/4.0 (compatible; MSIE 5.0; Windows 95)

• j'applique mes règles de filtrage.
• Si le nom de domaine ne correspond pas je simule une fause réponse dans lequel je mets une page html du genre:
  

  Code :

  Sélectionner tout - Visualiser dans une fenêtre à part

  1
  2
  3
  4
  5
  6
  7
  8
  <html>
  <head>
  <title>Page non authorisé</title>
  </head>
  <body>
  <p>Page non authorisé</p>
  </body>
  </html>

quelqu'un a une idée de comment je peux faire ?

[ram-0000]

mais j'aimerais pouvoir lire ce qui passe pour le filtrer.

Par exemple interdire les requêtes vers certain nom de domaine.

Ce n'est pas le rôle de la libpcap que de faire du filtrage "actif". Le seul filtrage qu'elle sache faire est un filtrage en réception.

Je ne sais pas ton OS mais si tu tournes sous Linux, tu as IpFilter pour faire cela. Cela sera beaucoup simple et efficace et surtout, c'est prévu pour.
Tu peux même faire du filtrage du genre "si le 17eme octet de la requete HTTP sur le port 80 est 'A' et que la requête provient du domaine '.it', je jette"

[guiyomh]

en faite je veux faire un firewall, mais je souhaite qu'il soit compatible linux, osX, et windows.

IpFilter tu dis, je connais pas je vais regarder. je cherche un truc qui soit portable. que me conseille tu ?

[ram-0000]

je cherche un truc qui soit portable. que me conseille tu ?

Ce que tu peux rendre portable, c'est le moteur du firewall de gestion des règles et l'interface de management. Par contre, pour la partie réseau (réception et éventuellement émission car ton firewall peut être actif), point de salut. Il n'y a rien de portable à ce niveau, désolé.

[guiyomh]

ok,

mais alors que me conseille tu pour windows,
Et j'ai pas trouvé beaucoup de concret sur IpFilter.

[nicolas.sitbon]

Ce que tu peux rendre portable, c'est le moteur du firewall de gestion des règles et l'interface de management. Par contre, pour la partie réseau (réception et éventuellement émission car ton firewall peut être actif), point de salut. Il n'y a rien de portable à ce niveau, désolé.

Là je ne suis pas d'accord, les bibliothèques comme libpcap ou libnet sont justement faîte pour apporter la portabilité au niveau 2 OSI, à partir de la, tout est faisable au dessus.

[ram-0000]

Là je ne suis pas d'accord, les bibliothèques comme libpcap ou libnet sont justement faîte pour apporter la portabilité au niveau 2 OSI, à partir de la, tout est faisable au dessus.

Oui, pour libpcap, je suis d'accord (je ne connais pas libnet).

Par contre, ce que je dis, c'est que libpcap n'est pas utilisable pour créer un firewall. libpcap ne sait faire que de la capture de réseau (avec un éventuel filtrage des paquets capturés).

Si un paquet est à destination de la machine, il sera traité par libpcap de l'application qui écoute le réseau ET par la pile IP de la machine.

Pour créer un firewall, les paquets doivent passer exclusivement au travers du moteur de règles de filtrage du firewall. Si le paquet peut prendre un autre chemin (la pile IP de la machine), ce n'est plus un firewall, c'est une passoire.