Libpcap comment manipuler un packet ?

Version imprimable

07/06/2008, 18h26
guiyomh

Libpcap comment manipuler un packet ?
Bonjour,

j'ai fai un petit sniffer de packet avec libpcap, pour l'instant il ne fait que compté les paquets qui passe sur le port 80.

je faits :
Code:

1 2 3 4 5 6 void got_packet(u_char *args, const struct pcap_pkthdr *header,const u_char *packet) { static int count = 1; printf("%d - Jacked a packet with length of []\n",count); count++; }
mais j'aimerais pouvoir lire ce qui passe pour le filtrer.

Par exemple interdire les requêtes vers certain nom de domaine.

voici la façon dont je vois les chose :
- je capte tous les paquets qui constitue une requête http sur le port 80
- je reconstitue la requête et j'obtien un truc tu genre :
  
  Citation:
  
  GET http://www.developpez.net HTTP/1.0
  
  Accept : text/html
  If-Modified-Since : Saturday, 15-January-2000 14:37:11 GMT
  User-Agent : Mozilla/4.0 (compatible; MSIE 5.0; Windows 95)
- j'applique mes règles de filtrage.
- Si le nom de domaine ne correspond pas je simule une fause réponse dans lequel je mets une page html du genre:
  Code:
  
  1 2 3 4 5 6 7 8 <html> <head> <title>Page non authorisé</title> </head> <body> <p>Page non authorisé</p> </body> </html>
quelqu'un a une idée de comment je peux faire ?
07/06/2008, 18h47
ram-0000

Citation:

Envoyé par guiyomh

mais j'aimerais pouvoir lire ce qui passe pour le filtrer.

Par exemple interdire les requêtes vers certain nom de domaine.

Ce n'est pas le rôle de la libpcap que de faire du filtrage "actif". Le seul filtrage qu'elle sache faire est un filtrage en réception.

Je ne sais pas ton OS mais si tu tournes sous Linux, tu as IpFilter pour faire cela. Cela sera beaucoup simple et efficace et surtout, c'est prévu pour.
Tu peux même faire du filtrage du genre "si le 17eme octet de la requete HTTP sur le port 80 est 'A' et que la requête provient du domaine '.it', je jette"
07/06/2008, 18h56
guiyomh

en faite je veux faire un firewall, mais je souhaite qu'il soit compatible linux, osX, et windows.

IpFilter tu dis, je connais pas je vais regarder. je cherche un truc qui soit portable. que me conseille tu ?
07/06/2008, 19h08
ram-0000

Citation:

Envoyé par guiyomh

je cherche un truc qui soit portable. que me conseille tu ?

Ce que tu peux rendre portable, c'est le moteur du firewall de gestion des règles et l'interface de management. Par contre, pour la partie réseau (réception et éventuellement émission car ton firewall peut être actif), point de salut. Il n'y a rien de portable à ce niveau, désolé.
07/06/2008, 19h54
guiyomh

ok,

mais alors que me conseille tu pour windows,
Et j'ai pas trouvé beaucoup de concret sur IpFilter.
07/06/2008, 19h59
nicolas.sitbon

Citation:

Envoyé par ram_0000

Ce que tu peux rendre portable, c'est le moteur du firewall de gestion des règles et l'interface de management. Par contre, pour la partie réseau (réception et éventuellement émission car ton firewall peut être actif), point de salut. Il n'y a rien de portable à ce niveau, désolé.

Là je ne suis pas d'accord, les bibliothèques comme libpcap ou libnet sont justement faîte pour apporter la portabilité au niveau 2 OSI, à partir de la, tout est faisable au dessus.
08/06/2008, 11h09
ram-0000

Citation:

Envoyé par nicolas.sitbon

Là je ne suis pas d'accord, les bibliothèques comme libpcap ou libnet sont justement faîte pour apporter la portabilité au niveau 2 OSI, à partir de la, tout est faisable au dessus.

Oui, pour libpcap, je suis d'accord (je ne connais pas libnet).

Par contre, ce que je dis, c'est que libpcap n'est pas utilisable pour créer un firewall. libpcap ne sait faire que de la capture de réseau (avec un éventuel filtrage des paquets capturés).

Si un paquet est à destination de la machine, il sera traité par libpcap de l'application qui écoute le réseau ET par la pile IP de la machine.

Pour créer un firewall, les paquets doivent passer exclusivement au travers du moteur de règles de filtrage du firewall. Si le paquet peut prendre un autre chemin (la pile IP de la machine), ce n'est plus un firewall, c'est une passoire.
08/06/2008, 11h15
nicolas.sitbon

On est bien d'accord alors, pour en faire un vrai firewall, il faut la bibliothèque + un système configuré en conséquence. Je bosse la dessus au boulot, perso, je conseille EBTABLES + libpcap (ou libnet) et ça nous donne un super firewall transparent : le must!
08/06/2008, 11h59
guiyomh

EBTABLES what is?

peux-tu développer ?
08/06/2008, 12h11
nicolas.sitbon

http://ebtables.sourceforge.net/
08/06/2008, 12h19
guiyomh

mais ça n'a pas l'air portable ou est ce que je me trompe ?
As tu un tuto pour m'aider ?
08/06/2008, 12h24
nicolas.sitbon

Effectivement, dès qu'on touche aux sous systèmes d'un OS, c'est rarement portable.
Des tutos tu en as sur le site que je t'ai indiqué.
08/06/2008, 12h46
guiyomh
j'avoue que je suis un peu perdu.
Si je comprend bien (en quelque mots simple).
Avec libpcap je ne peut pas filtrer car il travaille en même temps que l'OS => il n'intercepte pas les packet, il les lit au fil de l'eau.
Ce qu'il me faut c'est une sorte d'entonnoir qui cap les packets avant l'OS et l'application qui écoute (genre ebtable tu me dit).

mais j'ai du mal a voir le concepte. je cherche pas à bloquer des requêtes par rapport à des ip, mais à fitrer par rapport au contenu qui transite dans les packet.

par exemple, cas d'un navigateur web.
- requete vers un domaine
  =>analyse du domaine
  - ->domaine ok => =>on laisse la transaction se finir
  - ->domaine ko => simulation réponse requete avec une page "domaine interdit"
  - ->domaine inconnu =>analyse du contenu de la page html retourné
    
    ->page contenant mot sensible =>simulation réponse requete avec une page "domaine interdit"
    ->page contenant aucun mot sensible =>on laisse la transaction se finir.
    ->analyse des images
    
    ->image contient ton chair à plus de 65% =>remplacement par image de substitution
avec libpcap je peut capturer les paque et lire le contenu.
mais comment dire qu'il faut arrêter c'est paquet ou les modifier ?

parceque en faite je cherche pas a bloquer, mais a simuler une réponse bateau si le paquet n'est pas bon.

Je m'exprime comme un manche. Mais est ce que tu vois ce que je veux faire ?
08/06/2008, 12h51
ram-0000

Citation:

Envoyé par guiyomh

mais j'ai du mal a voir le concepte. je cherche pas à bloquer des requêtes par rapport à des ip, mais à fitrer par rapport au contenu qui transite dans les packet.

C'est un peu pareil non ?
tu recois un paquet, tu fais un test (quelque soit le test), si c'est OK, cela passe, si le test n'est pas bon, tu rejetes (quelleque soit la réponse).