Коллектив авторов - Защита от хакеров корпоративных сетей

struct bpf_program fp; /* Structure to hold kernel packetfilter

*/

char pfprogram[255]; /* Buffer for uncompiled packet

filter */

char dev[255]; /* Name of device to use */

int immediate = 1; /* Flag to suck packets at

max speed */

int promisc = 1; /* Flag to grab all packets

Особого пояснения требует буфер pfprogram. Аналогичное выражение можно использовать в программе tcpdump или tethereal точно так же, как и, например, порт 22 или хост 1.2.3.4 и udp. Фактически описание буфера является входной спецификацией конструирования фильтров внутри библиотеки libpcap. Библиотека libpcap сама транслирует фильтр в выполняемый код. Достаточно только передать осмысленную с точки зрения синтаксиса строку параметров, а все остальное библиотека доделает сама. Результат впечатляет:

struct libnet_ethernet_hdr *eth = NULL;

struct libnet_ip_hdr *ip = NULL;

struct libnet_tcp_hdr *tcp = NULL;

struct libnet_arp_hdr *arp = NULL;

struct libnet_icmp_hdr *icmp = NULL;

В библиотеке libnet определены базовые типы пакетов, которые описаны во включаемом файле include/libnet/libnet-headers.h. Подобное определение типов пакетов не только экономит время, но и позволяет стандартизировать структуры описания пакетов, по крайней мере при создании переносимых сетевых инструментальных средств:

struct libnet_link_int *l;

u_char *newpacket;

u_char user_ip[IPV4_ADDR_LEN+1];

u_char upstream_ip[IPV4_ADDR_LEN+1];

u_char test_ip[IPV4_ADDR_LEN+1];

struct in_addr test_ipa;

/* MAC addresses = Local Link-Level Hardware Addresses On

The Network */

u_char user_mac[ETHER_ADDR_LEN+1]; /* MAC to receive

packets on */

u_char upstream_mac[ETHER_ADDR_LEN+1]; /* MAC to forward

packets to */

u_char bcast_mac[ETHER_ADDR_LEN+1]; /* Forward addr for

all MACs */

u_char test_mac[ETHER_ADDR_LEN+1]; /* A buffer to test

В этих строчках кода присутствует стеснительный и, вероятно, ненужный хакинг. Важно, что создан статический массив для заполнения различных адресов: собственного IP-адреса, MAC-адреса маршрутизатора, которому будет передан пакет, и т. д. Но благодаря странностям функции sscanf и тому факту, что при быстрой работе утрачивается некоторая безопасность, буфера перезаписываются странными и не до конца выясненными способами. Буфера можно очистить, создавая буфер одного из устройств большего, чем это действительно нужно, размера. Этот способ не очень элегантен, он даже уродлив, но вполне работоспособен. Для правильного решения возникшей проблемы необходимо написать собственный вариант функции sscanf, выполняющий правильный разбор способов задания MAC– и IP-адресов, но автор попытался сохранить этот код разумно компактным и простым:

char errbuf[255];

int do_checksum = 0;

int verbose = 0;

Установка значений по умолчанию.Одна важная особенность, присущая всем программам, заключается в задании их поведения по умолчанию. Тем самым минимизируется объем знаний, необходимых программе во время ее первого запуска. Например, Web-серверам не обязательно указывать имя домашней страницы всякий раз, когда кто-либо подключается к http://www.host.com. По умолчанию если не указано ничего другого, то при подключении по этому адресу пользователю возвращается ответ, как если бы он запросил http://www.host.com/index.html. Точно так же следует установить значения по умолчанию для маршрутизации пакетов:

/* Set Broadcast MAC to FF:FF:FF:FF:FF:FF*/

bcast_mac[0] = 0xFF;

bcast_mac[1] = 0xFF;

bcast_mac[2] = 0xFF;

bcast_mac[3] = 0xFF;

bcast_mac[4] = 0xFF;

Иногда выбор установленных по умолчанию значений не представляет большого труда. Основные стандарты Ethernet определяют, что при задании в пакетах MAC-адреса FF: FF: FF: FF: FF: FF эти пакеты должны получить все хосты данной подсети. Локальная сеть на основе протокола Ethernet только недавно стала переключаемой средой, поэтому ранее использование адреса FF: FF: FF: FF: FF: FF больше носило характер «рекомендательного» сообщения для сетевых плат, которые должны были передать этот пакет операционной системе даже в том случае, если это сообщение не было адресовано определенному хосту. Ныне сетевые платы не видят сетевой трафик до тех пор, пока переключатель не посчитает, что он предназначен заданному хосту. В программе широковещательная рассылка MAC-адресов осуществляется следующим образом. Во многих протоколах предусмотрен запрос ко всем хостам локальной подсети. Для наших целей наиболее уместен протокол ARP:

/* Set Default Userspace MAC Address to 00:E0:B0:B0:D0:D0 */

user_mac[0] = 0x00;

user_mac[1] = 0xE0;

user_mac[2] = 0xB0;

user_mac[3] = 0xB0;

user_mac[4] = 0xD0;

Покажем, как можно в сети создать виртуальную сетевую карту, определив по умолчанию ее сетевой адрес отправителя. В действительности можно использовать любой адрес. Тривиальным и зачастую хорошим решением была бы рандомизация этого значения. Но рандомизация подразумевает, что нельзя будет по желанию запускать и останавливать маршрутизатор. Каждый раз при старте маршрутизатора в фоновом режиме хосты должны будут повторно назначить IP-адрес шлюза. Для этого им нужно будет заняться поиском новых обслуживаемых MAC-адресов. (Если читатель решит реализовать рандомизацию, то ему следует позаботиться о том, чтобы младшие значащие биты первого байта user_mac[0] не были установлены. А если они будут установлены, то в результате будет получен групповой MAC-адрес в локальной сети, использование которого приводит к очень интересным результатам.)

/* Set Default Upstream IP */

upstream_ip[0] = 10;

upstream_ip[1] = 0;

upstream_ip[2] = 1;

Програма DoxRoute не является законченной реализацией маршрутизатора. Это лишь его скелет. Фактически пакеты только отсылаются реальному шлюзу. Исходя из опыта, адрес 10.0.1.254 обычно используется для шлюзования пакетов частных сетей, в которых должна быть выполнена программа DoxRoute. Кстати, вовсе не случайно переменной user_ip не устанавливается значение по умолчанию. Причина подобных действий известна как политика добрососедства: когда это возможно, то не следует рушить существующих систем. Любой отправленный IP-адрес может иметь вполне определенный смысл для уже развернутых систем. Вместо этого пусть пользователь найдет свободный IP-адрес и займется анализом проходящего через него сетевого трафика. Более сложная реализация предусматривала бы для нахождения свободного адреса использование протокола динамической конфигурации хоста DHCP, но это наложило бы довольно серьезные ограничения для клиентов, пожелавших направить сетевой трафик через отдельный мобильный маршрутизатор.

/* Set Default Interface */ snprintf(dev, sizeof(dev), “%s”, pcap_lookupdev(NULL));

В оперативной странице руководства сказано, что «pcap_lookupdev() возвращает указатель на сетевое устройство, который может быть использован функциями pcap_open_live() и pcap_lookupnet(). В случае ошибки возвращается значение NULL и в переменную errbuf записывается соответствующее сообщение об ошибке». Это немного непонятно. На самом деле возвращается указатель на строку, содержащую имя устройства, которую мы покорно запоминаем для возможного будущего использования. Командная строка: использование параметров командной строки для того, чтобы избежать жестко запрограммированных зависимостей.Ах, функция getopt. Эта стандартная функция очень полезна для разбора командной строки в стиле UNIX. Но ее работа не столь понятна, как, допустим, написание программ с ее помощью. Пример добротного использования функции getopt приведен ниже: