LINUX.ORG.RU
решено ФорумAdmin

Перенаправление трафика.

 , ,


0

1

Разжуйте пожалуйста:

iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 8080

все входящие пакеты нацеленные на 80 порт, перенаправляются на 8080 порт.

Если данная команда используется на машине злоумышленника для перехвата трафика в сети (forwarding, sslstrip, arpspoofing), как жертвы все же получают ответы от веб сайтов, если машина злоумышленника перенаправляет все запросы на нестандартный порт?

Т.е. в моем не понимании механизма работы такой схемы в том, что:

telnet ya.ru 80 с жертвы дойдет до злоумышленника и трансформируется в telnet ya.ru 8080, что не должно вызвать никакой реакции, но это ошибочное мнение, т.к. все работает.


Ответ на: комментарий от alozovskoy

Собственно без трансляции эта схема не работала бы. В этом и вопрос, понять как оно работает поэтапно. Поясни, если не трудно.

yar1k
() автор топика

Прочитайте ″man iptables″, там ясно написано, куда перенаправляется трафик в случае с -j REDIRECT. Откуда взялось ″telnet ya.ru 8080″?

mky ★★★★★
()
Ответ на: комментарий от alozovskoy

1. iptables понятно

2. -t nat используем правило для всех пакетов устанавливающих новое соединение

3. -A PREROUTING для всех входящих пакетов

4. -p tcp --destination-port 80 протокола tcp, с запросом на 80 порт

5. -j REDIRECT --to-port 8080 перенаправлять на 8080 порт

Попробую рассширенно описать то как я понимаю: 1. Компьютер жертвы переходит на ya.ru в браузере 2. Как шлюз механизмами arpspoofing используется машина с указанным правилом iptables 3. Get-запрос ya.ru перенаправляется на 8080 порт машины злоумышленника 4. Почему у жертвы отображается ya.ru?

yar1k
() автор топика
Ответ на: комментарий от mky

«Выполняет перенаправление пакетов на другой порт той же самой машины.», это делается для того, чтобы обрабатывать дамп сессии sslstrip, но почему при этом у жертвы успешно открывается ya.ru?

да, telnetn ya.ru 8080 ошибочно указал.

yar1k
() автор топика
Ответ на: комментарий от yar1k

На 8080 висит сервис, отправляющий запросы пользователя на ya.ru:80?

Ivan_qrt ★★★★★
()
Ответ на: комментарий от yar1k

А почему там что-то другое должно быть? Суть всяких NAT («подмена» порта, «подмена» реципиента и так далее) как раз в том, что пакет приходит на шлюз (пусть даже и все работает только на одной машине, все равно), подменяются порты\адреса (эти действия запоминаются), пакет передается дальше, после обработки назад в обратном порядке. Грубо говоря получается что-то вроде такой схемы.

1. Пришел пакет, источник 192.168.0.2:12345, назначение 192.168.0.1:80

2. Заменяем порт, запоминаем и отправляем дальше - пакет (после преобразований, представим что у нас три машины участвуют, но и на локалхосте все аналогично) имеет адрес источника 192.168.0.1:54321 и назначение 192.168.0.3:8080.

3. Приложение, которое слушает порт 8080 на 192.168.0.3 получает пакет, обрабатывает и шлет ответ на 192.168.0.1:54321.

4. Хост 192.168.0.1 получает пакет от 192.168.0.3, меняет адрес отправителя на свой и пересылает этот пакет на машину 192.168.0.2 (потому что он помнит что это за соединение и кому надо ответ отправить).

То есть по сути получается что 192.168.0.2 вообще не в курсе что за 192.168.0.1 что-то есть, по-этому адрес и не меняется.

Объяснение максимально упрощенное, если тебе нужно точное описание работы всего этого - погугли. Но вообще принцип в общем такой.

alozovskoy ★★★★★
()
Ответ на: комментарий от yar1k

почему при этом у жертвы успешно открывается ya.ru?

А это все зависит от приложения, которое там у тебя 8080 слушает - может оно просто трафик дампит и пересылает на ya.ru, просто как посредник.

alozovskoy ★★★★★
()
Ответ на: комментарий от yar1k

Потому что sslstrip является прозрачным proxy. Она обрабатывает получаемые запросы, по заголовку GET определяет куда нужно подключится и какую странцу загрузить.

mky ★★★★★
()
Ответ на: комментарий от mky

Спасибо, именно не знание работы sslstrip ввело меня в заблуждение. Видимо именно она перенаправляет трафик в нужном направлении.

yar1k
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.