Вопросы Теги

Ettercap - пакетная инжекция / изменение

Вы знаете причину к использованию, "требуют" вместо "использования" для setkey конфигурации? Вы также знаете, имеет ли это значение, в какой порядок я помещаю операторы в удаленном и разделах sainfo и по ошибке дублировании определенных операторов? Например: 

#original
remote 205.251.233.121 {
        exchange_mode main;
        lifetime time 28800 seconds;
        proposal {
                encryption_algorithm aes128;
                hash_algorithm sha1;
                authentication_method pre_shared_key;
                dh_group 2;
        }
        generate_policy off;
}

по сравнению с 

#edited
remote 205.251.233.121 {
        generate_policy off;                           #moved/duplicated
        lifetime time 28800 seconds;
        proposal {
                dh_group 2;                           #moved
                encryption_algorithm aes128;
                hash_algorithm sha1;
                authentication_method pre_shared_key;
        }
         exchange_mode main;                      #moved
        generate_policy off;                   #duplicated/moved
}

Вы также выясняли, как заставить трафик течь на обоих туннелях?

Спасибо за любое руководство.

0
задан 7 January 2011 в 21:16
3 ответа

В squid.conf используйте redirect_program переменная конфигурации для указания на программу/сценарий. В том сценарии можно смешать с данными, прошедшими однако, Вы хотите. Для забавного примера см. Upside-Down-Ternet.

1
ответ дан 4 December 2019 в 12:59

Что вам действительно нужно, так это прокси, который будет выполнять фильтрацию на уровне приложения. Есть модули для Squid, которые предлагают это, хотя быстрый поиск не показывает ни одного, не требующего перекомпиляции Squid. В качестве альтернативы вы можете связать свой прокси-сервер Squid через прокси-сервер, который предлагает нужные вам функции. Это может быть простой сценарий Perl с использованием HTTP :: Proxy или другой язык и библиотека по вашему выбору.

Ettercap на самом деле не подходит для этого, хотя, вероятно, его можно заставить работать. Вам, вероятно, придется возиться с таблицами маршрутизации ядра, чтобы заставить его работать. Попробуйте прослушать ваш трафик в текущей конфигурации: вы можете обнаружить, что Ettercap повторно передает измененные кадры, не отбрасывая исходные. Также убедитесь, что у вас установлена ​​последняя версия Ettercap. Недавно он был переиздан с большим количеством исправлений ошибок, и я знаю, что по крайней мере некоторые из них были связаны с фильтрацией пакетов. Последняя версия - 0.7.4.

0
ответ дан 4 December 2019 в 12:59

Если у вас уже есть рабочий прокси, через который проходят данные, вам не нужен arpspoof. Вы должны написать фильтр для ettercap. Простой текстовый файл replace.filter , содержащий (порт 80 для http): 

if (ip.proto == TCP && tcp.dst == 80) { // suspress gzipped content
    if (search(DATA.data, "Accept-Encoding")) {
        replace("Accept-Encoding", "Accept-DontLoad"); 
        msg("zapped Accept-Encoding!\n");
    }   
}
if (ip.proto == TCP && tcp.dst == 80) {
    if (search(DATA.data, "searchstring")) {
        replace("searchstring", "replacestring");
    }
}

Вы можете использовать несколько фильтров в одном файле для разных портов. Вы также должны «скомпилировать» свой фильтр для работы 

etterfilter replace.filter -o replace.ef

Запустите ettercap, используя этот фильтр, введя 

ettercap -T -q -F replace.ef -M ARP /<GATEWAY_IP>/ /<TARGET_IP>/
2
ответ дан 4 December 2019 в 12:59

Теги

Похожие вопросы