[HACK] Duplicar/Multiplicar paquetes con Iptables

ICEHOUSE icehouse at salix.org
Fri Feb 25 11:14:28 CET 2005 

Hola, a mi se me habia ocurrido algo similar.

Adjunto un pequeño programa que, basicamente, lo que hace es ponerse a 
escuchar en una interface de red en busca de paquetes cuyo destino sea el 
puerto 162 UPD dirigidos a una direccion IP concreta. Cuando detecta un 
paquete que cumpla con esa caracteristica lo re-inyecta hacia otro grupo de 
hosts.

El programa acepta los siguientes parametros:

-f (si quieres que haga un fork)
-i (Direccion IP que va a ser monitorizada)
-d (Interface de red a monitorizar)

--------

A mi me funciona perfectamente en una fedora core 1 con kernel 2.6.3

PD: El script es tan solo una prueba de concepto escrita en 20 minutos, 
obviamente, se puede mejorar / optimizar etc etc etc 



El Jueves 24 Febrero 2005 00:58, zgor escribió:
> Aupi,
>
> > Me gustaría saber si se os ocurre cómo hacer con iptables (en una
> > máquina que hace de Linux-router) que cuando le entre un paquete dado
> > saque N copias del mismo, y cada una de ellas las envíe a N IPs de
> > destino diferentes (sería como un "multiplicador"+DNAT). La cosa es
> > que intercepte traps snmp (que no son más que paquetes UDP al 162
> > "independientes", i.e., que no necesitan de una respuesta, ni de
> > ningún tipo de handshaking) y aparte de dejarlo pasar a su destino, lo
> > envíe también a (N-1) sitios más.
> >
> > ¿Se os ocurre alguna forma de hacerlo con iptables? (algun "target"
> > raro que permita duplicar paquetes, dejando salir uno y reinyectar el
> > otro a iptables, para que a su vez se pueda duplicar, etc; es sólo una
> > idea... si existiera algún target similar, claro).
> >
> >
> > En última instancia, si no es posible sólo con iptables, que más
> > utilizaríais? ¿Alguien tiene impementado algo similar?
>
> La verdad es que nunca he tenido que montar nada asi pero se me ocurre
> una historieta un poco bricolaje:
> utilizar el target ulog para loguear los paquetes que te interesan y en
> ulogd utilizar el modulo pcap para que lo guarde en formato libpcap
> Y por otra parte tener un scriptillo que cada segundo (si es aceptable
> ese tiempo) procese el ultimo registro del log y construya/envie los
> paquetes clonados (no se si con sendip o similar valdria)
> Sino, habia pensado tambien en que quizas no sea muy dificil modificar
> el target mirror de netfilter que hace algo parecido a lo que quieres
> pero solo intercambiando origen y destino, podria funcionar cambiando el
> destino y repitiendo el proceso varias veces, lo unico que los paqeutes
> enviados por mirror luego no son vistos por netfilter (aunque en
> principio no te haria falta)
>
>
> suerte!
>
> --
> zgor
>
>
>
>
> _______________________________________________
> Lista - http://mailman.argo.es/listinfo/hacking
> FAQ - http://www.argo.es/~jcea/artic/hack-faq.htm
> "una-al-dia" para estar siempre informado - http://www.hispasec.com/
-------------- next part --------------
A non-text attachment was scrubbed...
Name: dup.pl
Type: application/x-perl
Size: 1201 bytes
Desc: not available
URL: <https://mailman.jcea.es/pipermail/hacking/attachments/20050225/be3d590d/attachment.bin>

More information about the hacking mailing list