Re: [ml] Unix Packet Manipulation

davide@xxxxxxxxxxxxxxxxx wrote:
> Ciao a tutti,
> sono alla ricerca di un tool che abbia una funzionalità simile ad ettercap,
> mi spiego: ho la necessità di manipolare il payload dei pacchetti TCP in
> uscita dalla mia macchina attraverso un tool che mi permetta di 'scriptare'
> dei filtri con una logica simile a:
>
> if (ip.proto == TCP && search(DATA.data, "ACCEPT") ) {
>    log(DATA.data, "/tmp/logp.log");
>    replace("ACCEPT", "DENY");
>    msg("Sostituzione effettuata.\n");
> }
>
> Mi sembra che ettercap richieda un MITM per far ciò mentre nel mio caso è
> richiesta che la stessa macchina generi i pacchetti, mentre il filtro andrà
> a modificarne il contenuto.
>   
Cioe' tu vuoi disaccoppiare la parte di generazione (sara' 
un'applicazione?) dalla parte di modifica. Proverei a cercare un qualche 
plugin per iptables che permetta di modificare i pacchetti. Ad una prima 
ricerca pero' non ho trovato nulla del genere.
> Avete consigli su tools del genere?
>   
http://www.secdev.org/projects/scapy/

Scapy is a powerful interactive packet manipulation program. It is able 
to forge or decode packets of a wide number of protocols, send them on 
the wire, capture them, match requests and replies, and much more. It 
can easily handle most classical tasks like scanning, tracerouting, 
probing, unit tests, attacks or network discovery (it can replace hping, 
85% of nmap, arpspoof, arp-sk, arping, tcpdump, tethereal, p0f, etc.). 
It also performs very well at a lot of other specific tasks that most 
other tools can't handle, like sending invalid frames, injecting your 
own 802.11 frames, combining technics (VLAN hopping+ARP cache poisoning, 
VOIP decoding on WEP encrypted channel, ...), etc. See the quick demo: 
an interactive session <http://www.secdev.org/projects/scapy/demo.html>.