работа с ip-пакетами

0

1

Здравствуйте!

Пишу программу, которая должна заменять большой ip-пакет, исходящий с компьютера на несколько меньших определенного размера. В случае же, когда размер пакета слишком мал, дополнять его мусором.

1) Если писать модуль ядра и работать со структурами sk_buff, то получается не сильно переносимо на новые версии ядра и не очень удобно. К тому же глупо работать с sk_buff, чтобы собрать из них ip-пакет, когда он только что на них был разбит.

2) Если использовать библиотеку libipq для работы с iptables, то, как я понимаю, получаешь только первый ethernet фрейм, относящийся к ip-пакету. По нему надо решать, отбросить пакет или нет. Остальные фрагменты пакета в userspace не передаются. Этот вариант тем более не подходит, так как надо работать с ip-пакетом целиком.

Итак, вопрос, как получить доступ к ip-пакету в тот момент, когда он еще не фрагментирован на ethernet фреймы? Или подскажите, пожалуйста, библиотечку, которая умеет выдавать исходящие с компьютера (да подойдут и входящие) ip-пакеты целиком.

Спасибо!

Ссылка

←	[Talks] Интерестные библиотеки для Java

[kernel] Узнать своё имя.

→

Не уверен, но, может быть, libpcap?

AITap ★★★★★
(14.05.11 15:04:35 MSK)

Ответ на: комментарий от AITap 14.05.11 15:04:35 MSK

Нет, с помощью нее можно только просматривать пакеты. Она используется пассивными снифферами. Работает с ethernet фреймами.

spopov
(14.05.11 15:08:56 MSK) автор топика

Ссылка

Какую глобальную задачу ты решаешь?

true_admin ★★★★★
(14.05.11 15:22:03 MSK)

Ответ на: комментарий от true_admin 14.05.11 15:22:03 MSK

Задача в этом и состоит. Надо, чтобы никто «азбукой Морзе» через длины пакетов не передавал информацию с компьютера. Для этого надо в зависимости от статистики выравнивать длины ip-пакетов.

spopov
(14.05.11 15:29:34 MSK) автор топика

tun/tap ?

AptGet ★★★
(14.05.11 15:34:16 MSK)

Ответ на: комментарий от AptGet 14.05.11 15:34:16 MSK

Спасибо! Попробую.

spopov
(14.05.11 15:39:17 MSK) автор топика

Ссылка

Ответ на: комментарий от spopov 14.05.11 15:29:34 MSK

Это в универе такая задача поставлена?

А как ты пакет мусором дополнишь если у пакета есть контрольная сумма? Такой пакет просто не пройдёт. А если пересчитать контрольную сумму то ты нарушишь целостность пакета своими данными.

true_admin ★★★★★
(14.05.11 17:29:03 MSK)

packet-сокеты (AF_PACKET) - удобно, пользовался ими.

man packet

erDiZz ★
(14.05.11 18:45:54 MSK)

Ответ на: комментарий от true_admin 14.05.11 17:29:03 MSK

> Это в универе такая задача поставлена? Да, это часть курсовика.

А как ты пакет мусором дополнишь если у пакета есть контрольная
сумма? Такой пакет просто не пройдёт. А если пересчитать контрольную
сумму то ты нарушишь целостность пакета своими данными.

Хорошее замечание. Буду считать, что пакет не подписан :-)

spopov
(14.05.11 20:07:32 MSK) автор топика

Ответ на: комментарий от erDiZz 14.05.11 18:45:54 MSK

Да, пожалуй, это самое простое решение моей задачи. Буду перенаправлять весь исходящий трафик на свой сокет, с определенным портом. Спасибо!

spopov
(14.05.11 20:09:10 MSK) автор топика

Ссылка

Ответ на: комментарий от spopov 14.05.11 20:07:32 MSK

Хорошее замечание. Буду считать, что пакет не подписан :-)

Это CRC, а не подпись. Пакет с битым CRC в IP-заголовке просто будет выкинут ближайшим маршрутизатором.

libpcap умеет работать с сетевыми устройствами в raw-режиме, минуя ядерный netfilter, etc.

Ethernet- и IP-фреймы по структуре такие простые, что можно самому всё за день написать, попутно изучая документацию.

mv ★★★★★
(14.05.11 20:13:20 MSK)

Ответ на: комментарий от mv 14.05.11 20:13:20 MSK

Я думал, что фраза «если пересчитаешь контрольную сумму, то нарушишь целостность пакета» обозначает именно подпись, потому что «если пересчитаешь CRC, то будет битый CRC» странно звучит. Если я его пересчитаю, то он уже не будет битым :-)

Никто не спорит, что можно и за день и за меньше написать :-)

spopov
(14.05.11 20:28:39 MSK) автор топика

Ссылка

Перехват ip_output.
А ещё лучше(если работа будет с TCP), tcp_sendmsg или tcp_sendpage.(в таком случаи можно будет контролировать все передаваемые данные)

Deleted
(14.05.11 22:12:44 MSK)

Ссылка

Ответ на: комментарий от true_admin 14.05.11 17:29:03 MSK

> А если пересчитать контрольную сумму то ты нарушишь целостность пакета своими данными.

Каким образом? Если вы не в курсе, в разных подсетях размеры фреймов могут отличаться, так, при переходе из одной подсети в другую пакет может быть разбит на части или наоборот собран, если речь идёт о TCP соединении.

gandjubas ★
(14.05.11 22:38:04 MSK)

Афтар, дополнять пакеты мусором у вас не получится - получатель поперхнётся. В этом случае я бы рекомендовал осуществлять сборку последовательных пакетов идущих по тому же самому адресу.

gandjubas ★
(14.05.11 22:49:10 MSK)

Ссылка

Ответ на: комментарий от gandjubas 14.05.11 22:38:04 MSK

Каким образом?

«получатель поперхнётся».

Если вы не в курсе

поучи меня ещё сетям

если речь идёт о TCP соединении.

Фрагментация на уровне ip работает. См. поле Fragment Offset и флаги DontFrag и MoreFragments. На уровне tcp это тоже в теории можно, но ни один серьёзный роутер этим заниматься не будет. Как и фрагментацией пакетов, это всё бьёт по производительности и порождает лишние проблемы.

true_admin ★★★★★
(14.05.11 23:51:44 MSK)

Ответ на: комментарий от mv 14.05.11 20:13:20 MSK

Пакет с битым CRC в IP-заголовке просто будет выкинут ближайшим маршрутизатором.

Кстати, один товарищ из циско сказал что роутеры скорее всего не проверяют контрольную сумму на уровне ip(речь, правда, об mpls шла). Только целостность ethernet-кадра проверяется внутри PHY. Лень проверять. Но, конечно, контрольная сумма пересчитывается при изменении ttl.

true_admin ★★★★★
(15.05.11 00:02:22 MSK)

Ссылка

Ответ на: комментарий от spopov 14.05.11 15:29:34 MSK

Надо, чтобы никто «азбукой Морзе» через длины пакетов не передавал информацию с компьютера.

Кстати, есть куча других способов передавать информацию скрытно. Азбука морзе как-то уж слишком медленно. Например, через icmp echo/reply в payload. Или битиками tcp «моргать». Или в ttl шифровать информацию. Да много чего придумать можно.

true_admin ★★★★★
(15.05.11 00:04:38 MSK)

Ответ на: комментарий от true_admin 14.05.11 23:51:44 MSK

Я хотел сказать что нарушать целостность пакетов таки можно указанным мной чуть ниже способом. И не важно подписаны они или нет.

gandjubas ★
(15.05.11 10:35:19 MSK)

Ответ на: комментарий от true_admin 15.05.11 00:04:38 MSK

> Или битиками tcp «моргать»

То что предлагает автор - это практически стеганография, а у вас будет заметен факт передачи скрытой информации. Например: никто не моргает битиками, один вы моргаете - вуаля, вы себя выдали.

gandjubas ★
(15.05.11 10:43:12 MSK)