Как реализовать фильтрацию TCP пакетов по содержимому в поле Data под windows налету?

Question

[Роман]

Всем доброго времени суток!

Подскажите пожалуйста решение такой задачи:
необходимо на машине с Windows фильтровать пакеты TCP содержащие текстовые сообщения. Одни пропускать, а другие отбрасывать.
Сообщения не шифрованные.
Возможно ли такое реализовать средствами самой операционной системы?
Возможно ли такое реализовать сторонними средствами (прокси-сервер или какой-то фильтр-драйвер)?

Пример пакета:


Благодарю за ответы.

Comments

[Армянское Радио]

Самое важное не указали, что за протокол-то? Трудно себе представить, что на сегодня есть некое чудо, работающее открытым текстом - везде как минимум HTTPS

[xmoonlight]

gbg,

пакеты TCP содержащие текстовые сообщения.
Сообщения не шифрованные.

протокол прикладного уровня - вообще не важен.

[Армянское Радио]

xmoonlight, важен, потому что для HTTP есть куча проксей с фильтрацией.

[xmoonlight]

gbg, согласен, что возможно там и HTTP/JSON/etc., но странно что TCP сразу в вопросе указан, а не HTTP(S).

[Роман]

gbg, xmoonlight,
Приложил скрин с захваченными данными.

[xmoonlight]

Роман, ответил..

Answer 1

[xmoonlight]

https://github.com/ntkernelcom/ndisapi

Answer 2

[Inviz Custos]

фильтровать пакеты TCP содержащие текстовые сообщения.

Именно в такой формулировке - нельзя.
У TCP нет понятия "пакет" как такового.
TCP - условно бесконечный поток данных, в котором данные передаются небольшими "порциями" в TCP-сегментах. Ваше сообщение можно передать как одним сегментом, так и множеством сегментов с 1 байтом payload'а в каждом.
Полученные данные буферизируются приложением, а затем уже (при достаточном количестве полученных данных) обрабатываются согласно протоколу этого приложения.
Поэтому "stateless" проверка содержимого сегмента - бесполезна.

Возможно ли такое реализовать сторонними средствами (прокси-сервер или какой-то фильтр-драйвер)?

Проще всего реализовать прокси-сервер, в котором будет реализована поддержка протокола приложения.
Таким образом Вы сможете фильтровать трафик для этого приложения.

Comments

[xmoonlight]

Так-то всё круто и правильно...
Но КАК?! (или ЧЕМ именно или с помощью чего)
:))

[Роман]

Приложил скрин с захватом интересующих данных.

Answer 3

[ValdikSS]

Используйте WinDivert.

Answer 4

[ComodoHacker]

Comodo вроде умел такое. Но не уверен, как сейчас.

Answer 5

[Владимир]

под Linux в Snort https://www.snort.org/ можно было строить правила c критерием string в ASCII,
так как Snort есть и под Windows то возможно это решит вашу задачу.
детальней про создание таких правил - manual-snort-org.s3-website-us-east-1.amazonaws.co...

Comments

[xmoonlight]

snort разве делает модификацию пакетов?

Answer 6

[CityCat4]

Вопрос бессмысленный.

TCP не содержит текстовых или не-текстовых сообщений - он содержит payload, который разбирается протоколами верхних уровней. Payload этот, как совершенно справедливо заметил Inviz Custos может быть по 1 байту на пакет TCP, которых может быть зиллион - и их все ядро обязано собрать в один общий буфер, прежде чем отдать его "наверх".
Фильтрацию того, что приехало в payload необходимо делать на ISO/OSI 7 - после всех сборок, расшифровок и т.д.

Comments

[Роман]

Приложил скрин с захваченными данными.