Трабл заключается вот в чём:
есть комп в локальной сети(100Mbit).
Сам комп-клиент WinXP, proxy-server -- FreeBSD.
Через него идёт доступ в нет.IP-статический(_._._._)
Вопрос 1:Как скрыть/изменить стат. IP ?
(Ну или перехватить чужой пакет и оставить там от
всех полей только адрес отправителя.)
Вопрос 2:как ПЕРЕХВАТИТЬ чужой пакет.
Понимаю,что вопрос не из серии "как переслать из одного регистра в другой",но если бы сам знал,то не спрашивал бы.
Злых умыслов не преследую,и вопрос я задал во имя просвещения,чтобы не оставаться шлангом до конца дней.
УЧЕНЬЕ-СВЕТ,А НЕУЧЁНЫХ-ТЬМА. :)
Всем зараннее благодарен.

PING
как ПЕРЕХВАТИТЬ чужой пакет

Сетевая плата ВСЕГДА хватает ВСЕ пакеты в сети Ethernet - таково свойство широковещательных сетей. Пакет рассылается всем! Но лишь gateway отвечает на него. В случае Ethernet обзаведись сниффером, который покажет тебе все пакеты, которые видела твоя карта, но которые были дропнуты драйвером. Что до остального - читай статьи и ищи в форуме. А то ответ больно объемным получается...

PING&&volodya
А то ответ больно объемным получается
ну почему же...на C дофига примеров в сети валяется,
чай PING не мальчик...
чтобы не оставаться шлангом до конца дней.
эт врядли...
оставить там от всех полей только адрес отправителя
Некорректно.поля-то все останутся...только пустые...
row-sockets,ndis-дров-перехватчик-заменитель etc.

Я так понимаю, решили вы, сэр, похулиганствовать...
А зачем, скажите, скрывать IP...
Если стоит XP - то это подурезанная Win2k(попрошу поправить,если неправ).идём DDK>>Network drivers>>Hook drivers.Делаем хук.По всем правилам-очень подробно расписано.

volodya
Эта часть будет отражена в статье + ещё кое-что стандартное + немного про ndis,но для первой статьи хватит,надеюсь...
Во второй планирую раскурочить ndis + остатки tdi...

P.S. а Outpost2 не ловит msblast....это уже попахивает
tdi, а не качественным ndis-перехватом, крепко попахивает

PING
Как скрыть/изменить стат. IP
Ну изменишь ты IP, и что? А если проксик настроен так,что
все не свои(IP1-IP2)пакеты он режет? Тогда как?
Или когда при раздаче он увидит,что нет такого во внутренней сетке?
Ломай тогда уж сервант.
как ПЕРЕХВАТИТЬ чужой пакет
если эзернет или что-то широковещательное ставишь
Effercap,а если ещё нужно восстановаить сеанс работы(неважно чей),IRIS.

van

Это шикарно. С нетерпением жду. Если тебе книги нужны, или софт, там (получше чем твой примаханый Effercap ;)), то только скажи.

мыл проверь

volodya
Сетевая плата ВСЕГДА хватает ВСЕ пакеты в сети Ethernet
Кхе-кхе... Это если switch не установлен :))) Иначе вам чужих пакетов не видать.

PING
К предыдущим ответам могу добавить, что тут когда-то давали ссылку на код для иньекции пакетов... Воспользуйтесь поиском.

Это если switch не установлен
Дороговатое решение...

Quantum

Гы-гы. Ты говоришь о частных случаях, я говорю о среде Ethernet как таковой :)

van

Зы.Выдам себя.Я обитатель сети 100Mb LAN на ~2.000-8.000
может и больше компов...Свичей тут немерено...
Так что за ответы,конечно,спасибо.В DDK пороюсь.
Но тема НЕ закрыта...
Ша вот перехожу из разряда DOSовских ламеров :)
(ламера<я<профи [благодаря вашему сайту]) в PM-32bit
Windows ламаку... :).Уже 2 месяца мутирую...
Ша идёт битва за ring0.Вот и интересны практические
стороны применения...
Спасибо всем за понимание.

volodya
Сетевая плата ВСЕГДА хватает ВСЕ пакеты в сети Ethernet
Херню порете товарищ. Если вы обратитесь к Олиферу или Таненбауму - вы поймете что MAC_ADDRESS и IP_ADDRESS Это две большие разницы. Так вот. Пакеты с разными IP адресами сетевая действительно принимает все. И они фильтруются уже операционкой. А вот пакеты с разными MAC адресами сетевуха принимает _ТОЛЬКО_ в том случае, если Promiscous Mode включен. А это фича не оси, а адаптера. В качестве домашнего чтения могу посоветовать к примеру исходники драйвера для RTL8139C+ а именно /usr/src/linux/drivers/net/8139cp.c функция __cp_set_rx_mode .

Quantum
Кхе-кхе... Это если switch не установлен :))) Иначе вам чужих пакетов не видать.
Ни свич ни маршрутизатор ни мост нам не помеха -)
Опять же почитав Олифера можно понять откуда появилась
технология Sniffing in switched network
под линух есть снифферы которые это умеют делать.
Принцип - свитч отличается от хаба, который транслирует пакеты на все интерфейсы тем, что свитч является само-адаптирующейся системой. Он имеет таблицу соответсвия MAC адресов и физического сегмента сети (порта). Таблица эта строится динамически. Т.е. первый пакет, который пришел к неизвестному MAC-адресу отсылается на все порты, и потом слушается траффик - на какой порт пришел ответ по этому пакету, тот порт и ставится в соотвествие. И после этого создается виртуальное соединение с этим портом (тогда пакеты идут только на один порт, а не на все). Но при этом таблица не резиновая, и у записей есть время жизни. И если сделать MAC-flood, чтоб забить таблицу MAC-адресов в свитче, то мы получим, что траффик будет всегда поступать на все порты свитча и соотвественно можно будет слушать switched network.
P.S. Это не применимо к маршрутизаторам с раздельными vlan, а так же к маршрутизаторам со статической MAC таблицей.

PING
Это называется Ip-spoof атака. В принципе инфу по ней можно найти на хак-сайтах 96-98 года.

Но реализация зависит от того, что ты хочешь.
Начнем с простого : почему у тебя может это не получиться:
а) Помимо IP есть ещё MAC адрес сетевой карты, который далеко не всегда можно подменить. На прокси-сервере может стоять проверка IP+MAC и если они не соотвествуют, то пакет может отбрасываться. (см. мою предыдущую мессагу - у в Unix системах есть встроеная защита от ARP-spoofing посредством таблиц соотвествия MAC и IP). Но далеко не все сетевые карты позволяют отсылать пакет с произвольным MAC.
б) Если пункт а. тебе пофиг, и ты хочешь, чтоб когда ты лазишь в инетку светился IP компа бухгалтера а не твой, то тебе нужно сделать следующие вещи:
1) побеспокоиться о том, чтоб комп бухгалтера не получал ACK пакеты от прокси с его ипом и твоим маком - иначе винда заорет что в сети появилось несколько компов с одинаковыми ипами (это можно сделать просто зафлудив сетевой интерфейс бухгалтера - чтоб он вообще ничего не принимал)
2) при инициализации сети винда отсылает ARP-Broadcast который говорит, что "вот он я - чувак с таким ипом и таким маком" на который опять же комп бухгалтера заорет. Лечится packet-filter, который не даст отослать.
3) ну и самое простое - просто добавь ещё один IP (бухгалтера) в список IP который поддерживается данным сетевым интерфейсом.

rst
Ни свич ни маршрутизатор ни мост нам не помеха -)
Опять же почитав Олифера можно понять откуда появилась
технология Sniffing in switched network
под линух есть снифферы которые это умеют делать.
Извините за вопрос, а что "мост" как таковой где-то, кроме литературы, ещё существует и какое он отношение имеет к перехвату пакетов? Занесло вас с терминологией, товарищ rst.

Ну, если многоуважаемый г-н Олифер знает больше чем не менее уважаемый г-н Коммер, то потрудитесь объяснить (хоть в общих чертах) суть технологии Sniffing in switched network, или хоть линк дайте. Что-то я сомневаюсь в возможности перехвата пакетов "телепатическими" способами.

Что до хаба vs. свитча, то про это тут речи не шло, хотя ваши объяснения могут кому-то и пригодиться.

Саму технологию я описал в предыдущем посте , адресованном тебе. суть технологии - заставить свитч посылать пакеты на все порты. Тогда свитч превращается в хаб.

Мост если не ошибаюсь представляет из себя двухпортовый свитч. Помимо этого я смею заверить - даже PDP-10 еще используются -)