Я уверен, что вы столкивались с ситуациями, когда вам нужно было подделать IP-адрес в файле захвата.
Это может потребоваться, когда вы пытаетесь отправить файл захвата кому-то, с кем вы на самом деле не делитесь своими реальными IP-адресами, или вы просто хотите изменить его по своему усмотрению.
Если вы попробовали это и просмотрели веб-сайты, вы наверняка поняли, что есть не так много доступных руководств, и большинство людей просто скажут что-то вроде «просто используйте sed» или используйте «WireEdit» и заплатите за ее лицензию.
Однако, в конкретной ситуации, когда sed не опция (файл был буквально размером в несколько ГБ, и большинство текстовых редакторов просто зависали), и, чтобы еще хуже, нужно фильтровать много информации и только находить IP-адреса источника и назначения для конфиденциальности.
Да, это означает удаление всех этих шумов, таких как DNS, UDP, Broadcast, Cisco ARP, Broadcast, MDNS (да, и это тоже), SSDP… да, почти всего, кроме трафика TCP / UDP, HTTP и TLS между моим сервером и пунктом назначения.
Итак, в итоге мне пришлось отфильтровать все эти шумы и изменить IP-адрес в файле захвата пакета, чтобы скрыть IP-адрес источника, ведь это похоже на фальшивый IP-адрес при захвате пакетов.
Вы также можете использовать другие инструменты, чтобы сделать это на лету, но они требуют больше настроек, а все, что я просто хотел сделать, это скрыть мой исходный IP.
Чтобы упростить это руководство, я просто воспользуюсь браузером и зайду на https://www.itsecforuru.
Будет сгенерирован некоторый трафик TCP, HTTP и TLS вместе с некоторыми другими шумами, которые я отфильтрую в Wireshark, а затем изменю IP-адрес моей рабочей станции (192.168.2.99) на IP-адрес Google DNS (8.8.8.8).
(p.s. это супер быстрый дамп процесса, так что извините за опечатки)
Давайте начнем:
- Шаг 1: Фильтрация pcap для источника и приемника
- Шаг 2: hexdump файла захвата
- Шаг 3: Поиск значения IP в файле захвата
- Шаг 4: Подтверждение вашего IP значения Hex в файле pcap
- Шаг 5: Подтверждение вашего IP-адреса в шестнадцатеричном формате в файле pcap
- Шаг 6: Выберите ваш новый фейковый IP-адрес в значении Hex
- Шаг 7: Замена шестнадцатеричного IP-адреса новым шестнадцатеричным значением
- Шаг 8: Новый файл pCAP с поддельным IP-адресом
- Заключение
Шаг 1: Фильтрация pcap для источника и приемника
Это стандартный фильтр Wireshark.
Просто отфильтруйте то, что вы хотите видеть в вашем pcap.
В моем случае это был IP-адрес для https://itsecforu.ru и сервера.
ip.addr==104.28.23.87 && ip.addr == 192.168.2.99
Как видите, я отметил IP-фильтр и источника и адреса назначения.
Я хочу изменить свой исходный IP 192.168.2.99 на что-либо.
Я могу изменить свой IP-адрес назначения, но давайте просто упростим все.
Шаг 2: hexdump файла захвата
В этом нет необходимости, но я хотел показать это, чтобы вы знали, с чем мы здесь имеем дело.
hexdump – это стандартный инструмент Linux, который показывает содержимое файлов в шестнадцатеричном формате.
Шаг 3: Поиск значения IP в файле захвата
Шаг 4: Подтверждение вашего IP значения Hex в файле pcap
Теперь, когда я не могу реально перевести IP в Hex на лету (не так ли?), я решил перепроверить его на общедоступных веб-сайтах, на которых есть такие инструменты, например https://ncalculators.com/digital-computation/ip-address-hex-decimal-binary.htm
Шаг 5: Подтверждение вашего IP-адреса в шестнадцатеричном формате в файле pcap
Я использую HxD, который является быстрым бесплатным шестнадцатеричным редактором, который может открывать файлы любого размера (до 8EB), предоставляет необработанный доступ для чтения / записи на диски и основную память (RAM), и при этом он так же прост в использовании, как и любой текстовый редактор.
Это решает множество проблем, которые имеют текстовые редакторы, которые не могут открывать большие файлы, шестнадцатеричные значения отображаются в слишком большом разбросанном формате (HxD показывает в удобном формате).
HxD – это тщательно разработанный и быстрый шестнадцатеричный редактор, который, в дополнение к необработанному редактированию диска и модификации основной памяти (RAM), обрабатывает файлы любого размера.
Простой в использовании интерфейс предлагает такие функции, как поиск и замена, экспорт, контрольные суммы / дайджесты, вставка байтовых шаблонов, уничтожитель файлов, объединение или разбиение файлов, статистика и многое другое.
Редактирование работает как в текстовом редакторе с упором на простую и ориентированную на задачи операцию, поскольку такие функции были упрощены, чтобы скрыть чисто технические различия.
Например, диски и память представлены аналогично файлу и показаны в целом, в отличие от представления, ограниченного сектором / регионом, которое обрезает данные, которые в свою очередь потенциально принадлежат друг другу.
Диски и память можно редактировать так же, как обычный файл, включая поддержку отмены.
Кроме того, разделы памяти определяют область, а недоступные разделы по умолчанию скрыты.
Кроме того, было приложено много усилий, чтобы сделать операции быстрыми и эффективными, вместо того, чтобы заставлять вас использовать специализированные функции по техническим причинам или произвольно ограничивать размеры файлов.
Он включает в себя отзывчивый интерфейс и индикаторы выполнения для длительных операций.
Мне нравится этот инструмент, а вы можете использовать все, что захотите.
Шаг 6: Выберите ваш новый фейковый IP-адрес в значении Hex
Шаг 7: Замена шестнадцатеричного IP-адреса новым шестнадцатеричным значением
Replace al
», вы получите что-то вроде этого:Шаг 8: Новый файл pCAP с поддельным IP-адресом
Что хорошего в руководстве, если вы его не аврувили?
и вот ваш новый файл pcap с поддельным IP
Заключение
Это не так сложно и может быть сделано с помощью множества различных инструментов.
Практическое использование для такой замены довольно ощутимое.
Очевидно, в моем случае это было просто необходимость скрыть IP-адрес моего сервера, но представьте, что вы захватили сетевой трафик, когда кто-то пытается войти на сайт, а ваш pcap содержит cookie.
Вы можете отредактировать файл pcap, чтобы изменить IP-адрес своего компьютера, и использовать tcpreplay, Colasoft Packet Player или PlayCap, чтобы снова воспроизвести файл на вашем компьютере, и внезапно у вас есть файл cookie для входа! и, конечно, этот процесс может быть использован, чтобы сделать больше.
¯\_(ツ)_/¯
Примечание: Информация для исследования, обучения или проведения аудита. Применение в корыстных целях карается законодательством РФ.