🖧 Как изменить IP-адрес в файле захвата пакета (поддельный IP-адрес) — Information Security Squad

🖧 Как изменить IP-адрес в файле захвата пакета (поддельный IP-адрес)

Я уверен, что вы столкивались с ситуациями, когда вам нужно было подделать IP-адрес в файле захвата.

Это может потребоваться, когда вы пытаетесь отправить файл захвата кому-то, с кем вы на самом деле не делитесь своими реальными IP-адресами, или вы просто хотите изменить его по своему усмотрению.

Если вы попробовали это и просмотрели веб-сайты, вы наверняка поняли, что есть не так много доступных руководств, и большинство людей просто скажут что-то вроде «просто используйте sed» или используйте «WireEdit» и заплатите за ее лицензию.

Однако, в конкретной ситуации, когда sed не опция (файл был буквально размером в несколько ГБ, и большинство текстовых редакторов просто зависали), и, чтобы еще хуже,  нужно фильтровать много информации и только находить IP-адреса источника и назначения для конфиденциальности.

Да, это означает удаление всех этих шумов, таких как DNS, UDP, Broadcast, Cisco ARP, Broadcast, MDNS (да, и это тоже), SSDP… да, почти всего, кроме трафика TCP / UDP, HTTP и TLS между моим сервером и пунктом назначения.

Итак, в итоге мне пришлось отфильтровать все эти шумы и изменить IP-адрес в файле захвата пакета, чтобы скрыть IP-адрес источника, ведь это похоже на фальшивый IP-адрес при захвате пакетов.

Вы также можете использовать другие инструменты, чтобы сделать это на лету, но они требуют больше настроек, а все, что я просто хотел сделать, это скрыть мой исходный IP.

Чтобы упростить это руководство, я просто воспользуюсь браузером и зайду на https://www.itsecforuru.

 Будет сгенерирован некоторый трафик TCP, HTTP и TLS вместе с некоторыми другими шумами, которые я отфильтрую в Wireshark, а затем изменю IP-адрес моей рабочей станции (192.168.2.99) на IP-адрес Google DNS (8.8.8.8).

(p.s. это супер быстрый дамп процесса, так что извините за опечатки)

Давайте начнем:

Шаг 1: Фильтрация pcap для источника и приемника

Это стандартный фильтр Wireshark.

Просто отфильтруйте то, что вы хотите видеть в вашем pcap.

В моем случае это был IP-адрес для https://itsecforu.ru и сервера.

ip.addr==104.28.23.87 && ip.addr == 192.168.2.99

Как видите, я отметил IP-фильтр и источника и адреса назначения.

Я хочу изменить свой исходный IP 192.168.2.99 на что-либо.

Я могу изменить свой IP-адрес назначения, но давайте просто упростим все.

Шаг 2: hexdump файла захвата

В этом нет необходимости, но я хотел показать это, чтобы вы знали, с чем мы здесь имеем дело.

hexdump — это стандартный инструмент Linux, который показывает содержимое файлов в шестнадцатеричном формате.

Посмотрите на все эти 0000, ffff и т. д., это шестнадцатеричные значения различных полей в шестнадцатеричном формате.

Шаг 3: Поиск значения IP в файле захвата

Я уверен, что вы уже знаете, как найти свой собственный IP-адрес на любой машине, но я просто хотел показать это в файле захвата пакета и как он выглядит.
Итак, 192.168.2.99 — это мой частный IP-адрес на моем сервере, а в шестнадцатеричном формате это C0 A8 02 63.
Я показал это, выделив Source: 192.168.2.99 в Wireshark, который затем выделил значения Hex.

Шаг 4: Подтверждение вашего IP значения Hex в файле pcap

Теперь, когда я не могу реально перевести IP в Hex на лету (не так ли?), я решил перепроверить его на общедоступных веб-сайтах, на которых есть такие инструменты, например https://ncalculators.com/digital-computation/ip-address-hex-decimal-binary.htm

Это просто доказывает, что когда мы увидели конкретный Hex в захвате пакета, все было правильно.
Мы будем использовать тот же веб-сайт, чтобы получить шестнадцатеричное значение для поддельного IP-адреса.

Шаг 5: Подтверждение вашего IP-адреса в шестнадцатеричном формате в файле pcap

Я использую HxD, который является быстрым бесплатным шестнадцатеричным редактором, который может открывать файлы любого размера (до 8EB), предоставляет необработанный доступ для чтения / записи на диски и основную память (RAM), и при этом он так же прост в использовании, как и любой текстовый редактор.

Это решает множество проблем, которые имеют текстовые редакторы, которые не могут открывать большие файлы, шестнадцатеричные значения отображаются в слишком большом разбросанном формате (HxD показывает в удобном формате).

HxD — это тщательно разработанный и быстрый шестнадцатеричный редактор, который, в дополнение к необработанному редактированию диска и модификации основной памяти (RAM), обрабатывает файлы любого размера.

Простой в использовании интерфейс предлагает такие функции, как поиск и замена, экспорт, контрольные суммы / дайджесты, вставка байтовых шаблонов, уничтожитель файлов, объединение или разбиение файлов, статистика и многое другое.

Редактирование работает как в текстовом редакторе с упором на простую и ориентированную на задачи операцию, поскольку такие функции были упрощены, чтобы скрыть чисто технические различия.

Например, диски и память представлены аналогично файлу и показаны в целом, в отличие от представления, ограниченного сектором / регионом, которое обрезает данные, которые в свою очередь потенциально принадлежат друг другу.

Диски и память можно редактировать так же, как обычный файл, включая поддержку отмены.

Кроме того, разделы памяти определяют область, а недоступные разделы по умолчанию скрыты.

Кроме того, было приложено много усилий, чтобы сделать операции быстрыми и эффективными, вместо того, чтобы заставлять вас использовать специализированные функции по техническим причинам или произвольно ограничивать размеры файлов.

Он включает в себя отзывчивый интерфейс и индикаторы выполнения для длительных операций.

Мне нравится этот инструмент, а вы можете использовать все, что захотите.

Я использовал портативную версию для этого упражнения: https://mh-nexus.de/en/downloads.php?product=HxD20
Просто откройте файл захвата в HxD и найдите значение C0 A8 02 63 (которое является нашим IP-адресом в шестнадцатеричном значении).
Он находит его в общей сложности 363 раза (что соответствует захваченному файлу pcap, который был у меня).

Шаг 6: Выберите ваш новый фейковый IP-адрес в значении Hex

8.8.8.8, преобразованный в шестнадцатеричный код, фактически является 08080808 или 08 08 08 08 (наборы из двух символов в четверках).
Теперь мы будем использовать 08 08 08 08 для замены 192.168.2.99 (Hex == C0 A8 02 63).
Если вы не уверены в этом выборе, просто используйте что-то вроде 230.130.30.3 (какой-то случайный IP)

Шаг 7: Замена шестнадцатеричного IP-адреса новым шестнадцатеричным значением

Просто откройте HxD и найдите и замените:
Да, это действительно легко.
Нужно немного попрактиковаться при замене длинных строк, разбитых на несколько, но в конце концов все таки все просто.
Как только вы нажмете «Replace al», вы получите что-то вроде этого:
Сохраните файл  как .cap или .pcap или любой поддерживаемый формат Wireshark.
Вы можете получить несколько ошибок, просто проигнорируте их.

Шаг 8: Новый файл pCAP с поддельным IP-адресом

Что хорошего в руководстве, если вы его не аврувили?

и вот ваш новый файл pcap с поддельным IP

Я выбрал источник: 8.8.8.8, который выделяет hex 08 08 08 08 в Wireshark.

Заключение

Это не так сложно и может быть сделано с помощью множества различных инструментов.

Практическое использование для такой замены довольно ощутимое.

Очевидно, в моем случае это было просто необходимость скрыть IP-адрес моего сервера, но представьте, что вы захватили сетевой трафик, когда кто-то пытается войти на сайт, а ваш pcap содержит cookie.

Вы можете отредактировать файл pcap, чтобы изменить IP-адрес своего компьютера, и использовать tcpreplay, Colasoft Packet Player или PlayCap, чтобы снова воспроизвести файл на вашем компьютере, и внезапно у вас есть файл cookie для входа! и, конечно, этот процесс может быть использован, чтобы сделать больше.

¯\_(ツ)_/¯

Примечание: Информация для исследования, обучения или проведения аудита. Применение в корыстных целях карается законодательством РФ.

 

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40