Как изменить TCP пакет на лету?

Question

[Эдуард]

Всем привет.
Есть программа которая устанавливает tcp сокет с сервером и отправляет незашифрованные данные. Нужно изменять данные перед отправкой на сервер.
Я пробовал делать прокси на С # но программа замечает что прокси на локальном IP и перестает работать, поэтому единственный выход это подмена пакетов. Как это сделать? Это что-то типа спуфунга? Кто-то знает примеры с открытым кодом (желательно на С # или Java ну или С ++)? Или в какую искать?

Comments

[15432]

Даж не знаю, может насильно перенаправить трафик на локальный IP средствами винды? Чтоб программа думала, что общается с сервером, а на самом деле всё редиректится на локальный перехватчик..

Answer 1

[Rou1997]

но программа замечает что прокси на локальном IP и перестает работать

Вот пожалуй проще "сломать" систему защиты, если освоить реверс-инжиниринг, чем модифицировать трафик.
Второй вариант - если действительно проблема в локальном IP, то VPS арендуйте и пусть будет не на локальном.

Кто-то знает примеры с открытым кодом (желательно на С # или Java ну или С ++)?

Судя по вопросу пример с открытым исходным кодом вам не поможет, особенно на C++, его еще подите скомпилируйте, а так - тот же Wireshark (Pcap) и прочие подобные драйвера NT, еще вариант подменить системные DLL "оберткой" (паттерн hook, proxy), в частности wsock32.dll, готовых решений с таким принципом не видел - не развито почему-то, но можно попытаться написать самому.

Answer 2

[Дмитрий]

Ставьте хуки на функции работы с сокетами, типа send/sendto/recv/recvfrom. И в них можно изменять что угодно.

Comments

[Эдуард]

А поподробнее можно, пожалуйста?

[Дмитрий]

подключаете к проекту на С++ любую библиотеку, которая умеет ставить хуки на функции. Например, minhook или Detours. Инжектите эту длл в необходимый процесс, и в перехваченном теле функций send/recv или sendto/recvfrom меняете трафик, как вам надо.

Answer 3

[ajiekceu4]

Если между сервером, на который отправляются данные и самой программой, есть шлюз на ОС Linux, то по идее можно установить nfqsed и при отправке с шлюза на сервер программы - менять интересующие значения в реальном времени.

Вот тут маленькая статья, в которой описан практически аналогичный случай. Лично пробовал для похожей ситуации и все работает с не зашифрованными пакетами как часы.

https://sysadmin.ru/articles/izmenyaem-soderzhimoe...

Answer 4

[Rawsock]

Тестировал на linux, а именно подстановка точки в конце демена в HTTP:
https://hastebin.com/quloxoxuhe.cpp
Компиляция: gcc http_inject.c -o http_inject -lnetfilter_queue;
Ставим правило iptables на OUTPUT и запускаем: iptables -A OUTPUT -j NFQUEUE --queue-num 0; ./http_inject