URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 51614
[ Назад ]

Исходное сообщение
"Дублирование входящих пакетов."

Отправлено mazaj , 15-Дек-04 12:30 
Привет всем. Знает ли кто-нибудь как можно сделать "дублирование" пакетов приходящих на интерфейс, удовлетворяющих определенному правилу src/dest IP, src/dest PORT. Что бы пакет не изменяясь проходил дальше, а его копия отсылалась на определенный хост. Интересует это все под Linux RH 9.

з.ы. Я понимаю что можно на перле или еще чем сделать скрипт который raw packet будет обрабатывать, но к сожалению я вообще не шарю программировать. Может есть готовые решения?


Содержание

Сообщения в этом обсуждении
"Дублирование входящих пакетов."
Отправлено StSphinx , 15-Дек-04 13:53 
>Привет всем. Знает ли кто-нибудь как можно сделать "дублирование" пакетов приходящих на
>интерфейс, удовлетворяющих определенному правилу src/dest IP, src/dest PORT. Что бы пакет
>не изменяясь проходил дальше, а его копия отсылалась на определенный хост.
>Интересует это все под Linux RH 9.
>
>з.ы. Я понимаю что можно на перле или еще чем сделать скрипт
>который raw packet будет обрабатывать, но к сожалению я вообще не
>шарю программировать. Может есть готовые решения?

Для iptables есть такое расширение - MIRROR. См. на netfilter.org



"Дублирование входящих пакетов."
Отправлено Torion , 15-Дек-04 20:32 
>Для iptables есть такое расширение - MIRROR. См. на netfilter.org

Вот описание действия команды MIRROR из Iptables Tutorial 1.1.9:
--------------------------
Действие MIRROR
Команда MIRROR может использоваться вами только для экспериментов и в демонстрационных целях, поскольку это действие может привести к "зацикливанию" пакета и в результате к "Отказу от обслуживания". В результате действия MIRROR в пакете, поля source и destination меняются местами (invert the source and destination fields) и пакет отправляется в сеть. Использование этой команды может иметь весьма забавный результат, наверное, со стороны довольно потешно наблюдать, как кульхацкер пытается "взломать" свой собственный компьютер!

Данное действие допускается использовать только в цепочках INPUT, FORWARD и PREROUTING, и в цепочках, вызываемых из этих трех. Пакеты, отправляемые в сеть действием MIRROR больше не подвергаются фильтрации, трассировке или NAT, избегая тем самым "зацикливания" и других неприятностей. Однако это не означает, что проблем с этим действием нет. Давайте, к примеру, представим, что на хосте, использующем действие MIRROR фабрикуется пакет, с TTL равным 255, на этот же самый хост и пакет подпадает под критерий "зеркалирующего" правила. Пакет "отражается" на этот же хост, а поскольку между "приемником" и "передатчиком" только 1 хоп (hop) то пакет будет прыгать туда и обратно 255 раз. Неплохо для крякера, ведь, при величине пакета 1500 байт, мы потеряем до 380 Кбайт трафика!
-----------------------

Ну и как с помощью MIRROR организовать то, что требуется?