有什么工具和办法可以篡改报文后重发 TCP 包? WI-FI 环境

2020-11-17 14:20:54 +08:00
 sekfung

目前想到两种办法:

  1. 我用 text2pcap 将 wireshark 捕获的报文( hex )部分修改后 转成 pcap 格式,再用 tcpreplay 将该报文重发。wireshark 能捕获到该重发的报文,但已经被认为是虚假重传,原因是包序列不对,原来的包已经被应答了。对计网了解得不是很深,暂时没有更进一步的解决方案

  2. 搭建一台 kali 主机,实现 ARP 攻击,冒充网关去嗅探流量并篡改报文。这个我觉得理论上是行得通的,而且还是实时篡改,但是对嗅探流量和串改报文工具这块,并且多年没有写 C 语言,所以不是很熟悉。有了解过 golang 的 gopacket,ARP 欺骗的 arpspoof

2586 次点击
所在节点    程序员
11 条回复
G65TMsqw3
2020-11-17 14:37:01 +08:00
libnet 库可以,旁路抓包
G65TMsqw3
2020-11-17 14:38:04 +08:00
tcp 的 ack/seq 等等数据需要自己重新计算,其他层的校验 libnet 已经做了
sujin190
2020-11-17 15:01:02 +08:00
iptables 重定向过来,先接收修改完了再发送出去就是了啊,这多简单
chaojijc
2020-11-17 15:33:31 +08:00
三楼正解
mingl0280
2020-11-17 15:36:26 +08:00
iptables 或者捕获库先把数据包拦截不发啊……不然你怎么攻击……
barathrum
2020-11-17 17:11:12 +08:00
虚假重传不是因为包序列不对,是已经被 ack 了。
faceRollingKB
2020-11-18 09:51:02 +08:00
想问下 https 报文被这样篡改的难度有多大?前端项目需要在多大程度上考虑这种篡改?
daimiaopeng
2020-11-18 10:32:47 +08:00
我之前刚好写了一个,python 版本的,接口简单,符合你要求,可以修改报文,缺点是不能修改报文的长度,不然会出现伪重传,想要了解的我可以上传到 github 。
julyclyde
2020-11-18 15:25:14 +08:00
@faceRollingKB 首先要建立的一个观念是:
tcp 是流

你想做的一切事都被流的概念约束
sekfung
2020-11-18 15:38:04 +08:00
@daimiaopeng #8 想了解一下,谢谢大佬
daimiaopeng
2020-11-19 14:22:30 +08:00
@sekfung python 库 pydivert ( 2.几的版本),c 库 divert ( 3.几的版本)我搞得有图形界面 https://github.com/daimiaopeng/divert

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/726191

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX