Форум на Исходниках.RU

Сниффер

EDIsaev — Thu, 16 Feb 2017 13:26:37 +0000

EDIsaev: Rouse_
Мне нужно "слушать" общение клиент/сервер и при нужной информации в запросе поймать ответ.
сервер чужой, клиент - online flash игра. Для этого, как я понял нужно WinPcap использовать.
c WinPcap никогда дела не имел, пытаюсь разобраться
Поставил magsys.co.uk/delphi/magmonsock.asp ловлю я нужные пакеты через WinPcap, через то самое единственное событие в TMonitorPCap - OnPacketEvent но нигде не могу найти SequenceNr пакета и их количество, принадлежащее одному ответу, чтобы собрать из нескольких пакетов 1 файл. А собрать его нужно, т.к. он в gzip и надо распаковать будет для анализа.
Что-то наверняка уже написано, что ответ принимает и собирает в одно целое.
Можете подсказать куда смотреть?

Сниффер

i3laze — Fri, 05 Jun 2009 10:03:59 +0000

i3laze: Спасибо за ответ.
В соседней ветке предлагалось для исходящий пакетов добавить второй сокет.. <_< Есть ли в подобном предложении какой-то смысл?

Сниффер

Rouse_ — Fri, 05 Jun 2009 09:57:19 +0000

Rouse_: Тут все зависит от настроек сети, например на моей рабочей машине ловится все и на всех системах, на домашней исходящие не ловятся, поэтому дома для таких целей я использую сниффер канального уровня

Сниффер

i3laze — Thu, 04 Jun 2009 21:38:29 +0000

i3laze: Интересно.. исходящие пакеты ловятся на WinXP и не ловятся на Vista.

Тестировал на 2 машинах с Vista, а также XP под Parallels (аналог VMWare). Режим совместимости с XP не помогает.
Компилировал под Vista на Delphi 10 (2006).

Есть комментарии? Какую ещё информацию для дебага предоставить?)

Сниффер

Jetus — Sun, 22 Jun 2008 21:30:55 +0000

Jetus: 2 Rouse_
Раньше ловились, а теперь не ловятся ICMP-пакеты.
Почему?

З.Ы. ОС: WinXP SP2 (брандмауер отключён, файерволов нет)

Сниффер

sAshA20 — Fri, 14 Mar 2008 09:15:05 +0000

sAshA20:

Цитата Rouse_ @ 14.03.08, 06:07

На подробней у меня нет времени.

Если будет время, поясните поподробней! Очень жду вашего ответа! Очень...
Я думаю это заинтересует многих!

Сниффер

Rouse_ — Fri, 14 Mar 2008 06:07:34 +0000

Rouse_: На подробней у меня нет времени. Если в кратке ты должен перехватить как send так и recv и анализировать запросы, отправленные через send

Сниффер

sAshA20 — Thu, 13 Mar 2008 08:18:00 +0000

sAshA20:

Цитата Rouse_ @ 12.03.08, 18:02

Она предназначена для приема буффера Если хочешь что-то узнать нужно еще сплайсить функции

Пожалуйста, поясните как можно поподробней и попорядку. Это мне очень важно. Не хочу что нибудь упустить.
Пожалуйста!

Сниффер

Rouse_ — Wed, 12 Mar 2008 18:02:26 +0000

Rouse_:

Цитата sAshA20 @ 12.03.08, 13:49

А как из функции recv мы узнаем какой файл пришел или на какой запрос пришел ответ!

Она предназначена для приема буффера :) Если хочешь что-то узнать нужно еще сплайсить функции :)

Сниффер

sAshA20 — Wed, 12 Mar 2008 13:49:01 +0000

sAshA20:

Цитата Rouse_ @ 12.03.08, 07:44

на основе того-же Recv

А как из функции recv мы узнаем какой файл пришел или на какой запрос пришел ответ! или я чего-то не догоня...

И можно ли сделать так: перехватывая функции HttpOpenRequestA, HttpSendRequest и подобные, и запуская их в отдельных потоках, могу ли я отменить загрузку отдельного файла в любой момент, прикрыв нужный поток?

Сниффер

Rouse_ — Wed, 12 Mar 2008 07:44:32 +0000

Rouse_: Ну механизм можно сделать на основе того-же Recv, только принимать маленькими порциями. Т.е. при перехвате начинаем закачку самостоятельно и по поступлении команды о отмене, прекращаем закачку и возвращаем к примеру WSA_OPERATION_ABORTED...

Сниффер

Oleg2004 — Tue, 11 Mar 2008 19:51:43 +0000

Oleg2004:

Цитата sAshA20 @ 11.03.08, 14:37

как реализовать отмену загрузки отдельного взятого файла в любой момент

Фактически это означает прерывание работы recv() в произвольный момент. Механизма API такого останова работы я пока не знаю.
Мое первое решение, которое пришло в голову - такое:
Прием файла(загрузка) идет в отдельном потоке.
Второй поток просто висит как дамоклов меч - как только получает команду, убивает поток приема - вместе с recv()
Может кто и другое получше предложит :)

Сниффер

sAshA20 — Tue, 11 Mar 2008 14:37:33 +0000

sAshA20: Написал прогу которая перехватывает запросы браузера до отправки в сеть, а точнее функции HttpOpenRequestA HttpSendRequest (перехватываю методом сплайсинга, использую библиотеку advApiHook)! Кому интересно пишите на ajax20@ukr.net (исходников нет с собой, позже тут выложу). Прога сырая, но кто заинтересован - доработает.
Но есть маленькая проблема - мне нужно прерывать загрузку отдельного файла (контента страницы) в любой момент!!!!!
В даной же проге я могу сделать прерывание только через не отправку запроса в сеть!! Есть ли функции в WinInet и не только, которые позволяют это сделать. Или только надо писать прокси (если да, то есть ли подобные исходники).
Люди которые в этом хорошо разбираются отзовитесь!!! Поясните пожалуйста мне как реализовать отмену загрузки отдельного взятого файла в любой момент. :wall: :wall: :wall:

Сниффер

Rouse_ — Thu, 28 Feb 2008 06:43:44 +0000

Rouse_:

Цитата vljak @ 28.02.08, 05:59

с самого начала предусмотрела такие функции - т.е. перед отправкой/приемом любого пакета вызывается callback функция

Эмм... параметр LPWSAOVERLAPPED_COMPLETION_ROUTINE lpCompletionRoutine в функции WSASend()?

Сниффер

vljak — Thu, 28 Feb 2008 05:59:51 +0000

vljak: немного пофлужу, но по моему обсуждение поменяло термин "сниффер" на "фаервол". Чтобы решить предложенные здесь задачи я думаю проще поискать исходные тексты фаерволов: ведь самые простые из них с самого начала могли как полностью блокировать сетевые подключения, так и "вырезать" ненужный контент, такой как реклама.
Как я споминаю, фаервол может не работать через драйвер: виндовс с самого начала предусмотрела такие функции - т.е. перед отправкой/приемом любого пакета вызывается callback функция (название сейчас хоть убейте не вспомню, но искал я в страндартом msdn), возвращающая в результате действие, с которым надлежит поступить с этим пакетом.

Сниффер

sAshA20 — Mon, 25 Feb 2008 13:20:45 +0000

sAshA20: Создал свою dll для внедрения в адресное пространство приложения (а конкретно браузера) и простенькое приложение для внедрение библиотеки в браузер. Использую библиотечку advApiHook coded By Ms-Rem. Функция перехвата возвращает код успешного перехвата. Осуществляется переход на мою функцию send. Но при чтении буфера Buf браузера, в котором находиться его запрос, вилетает браузер. Почему!!! Много експериментировал, но ничего не помогает. Все равно вилетает браузер. Вот проект

Сниффер

Rouse_ — Wed, 20 Feb 2008 11:43:32 +0000

Rouse_: Ну хотябы так:

var

bLoaded: Boolean = False;

...

try

hws2_32 := GetModuleHandle('ws2_32.dll');

if hws2_32 = 0 then

begin

hws2_32 := LoadLibrary('ws2_32.dll');

bLoaded := hws2_32 > HINSTANCE_ERROR;

if bLoaded then

begin

...

end;

finally

if bLoaded then

FreeLibrary(hws2_32);

end;

Сниффер

sAshA20 — Wed, 20 Feb 2008 11:20:00 +0000

sAshA20:

Цитата Rouse_ @ 19.02.08, 14:46

hws2_32 := GetModuleHandle('ws2_32.dll');

А как на Ваш взгляд лучше сделать?

Сниффер

Rouse_ — Tue, 19 Feb 2008 14:46:08 +0000

Rouse_: Скорее всего вот это не отрабатывает:

hws2_32 := GetModuleHandle('ws2_32.dll');

Сниффер

sAshA20 — Tue, 19 Feb 2008 14:16:38 +0000

sAshA20: Нашол статейки о перехвате функций send, WSASend, recv, WSAResv с библиотеки ws2_32.dll.
Компилировал примерчики... В статейке написано, шо гарантировано работает, но у меня почемуто нет... Библиотечка внедряется, но запросы не блокируются?! :wall:
Вот один из примеров

Сниффер

Rouse_ — Tue, 12 Feb 2008 11:10:50 +0000

Rouse_: Вот читай про сплайсинг:
http://www.wasm.ru/article.php?article=apihook_1
http://www.wasm.ru/article.php?article=sasapi

Перехватывать нужно InternetOpenUrl, HttpSendRequest, InternetReadFile, InternetReadFileEx

Сниффер

sAshA20 — Tue, 12 Feb 2008 10:23:24 +0000

sAshA20:

Цитата Rouse_ @ 12.02.08, 10:20

Она перехватывает только функции обьявленные в таблице импорта. Браузеры-же используют wininet...

А как сделать для браузера? Помогите, пожалуйста, поясните!! Вся надежда на Вас! Начинаю седеть :wall:

Сниффер

Rouse_ — Tue, 12 Feb 2008 10:20:16 +0000

Rouse_: Она перехватывает только функции обьявленные в таблице импорта. Браузеры-же используют wininet, причем подгрузка происходит динамически. Против динамики нужно использовать сплайсинг...

Сниффер

sAshA20 — Tue, 12 Feb 2008 10:19:02 +0000

sAshA20:

Цитата Rouse_ @ 11.02.08, 10:45

Вот сдесь перехват WSARecv, WSARecvEx... переделай по аналогии на свою функцию:
Перехват recv

Проверил Вашу прогу (не меняючи ничего) на браузерах IE, Opera, Mozilla Firefox. И ничего не перехватывает!!!! :wall: Только FlashGet!

Библиотека внедряется во все приложения но перехватывает recv только во FlashGet!

Сниффер

Rouse_ — Tue, 12 Feb 2008 07:24:38 +0000

Rouse_:

Цитата Virtuals @ 12.02.08, 06:44

кстати
WSASendTo вроде оболочка для WSASend

Нет. sendto и WSASendTo выходят на вызов провайдера WSPSendTo. Которая производит вызов QueueOverlappedSendTo() в случае оверлапа, и вот только тут производится проверка на тип сокета. Если он не IS_DGRAM_SOCK - производится вызов WSPSend, в противном случае стандартный WSPBind и NtDeviceIoControlFile()

Сниффер

Virtuals — Tue, 12 Feb 2008 06:44:21 +0000

Virtuals: а если так хочется перехватывать все и вся не лучше ли сразу
NtDeviceIoControlFile
:D
поправте меня если ошибаюсь

кстати
WSASendTo вроде оболочка для WSASend

Сниффер

Oleg2004 — Mon, 11 Feb 2008 15:06:49 +0000

Oleg2004:

Цитата sAshA20 @ 11.02.08, 15:00

WSASendTo, SendTo?

Эти функции используются при передаче по протоколу UDP - а веб использует TCP

Цитата sAshA20 @ 11.02.08, 15:00

только одну WSASend хватит?

броузер может использовать и send - потому в примере отлавливаются все возможные функции (в примере это несколько функций приема)

Сниффер

sAshA20 — Mon, 11 Feb 2008 15:00:40 +0000

sAshA20:

Цитата Rouse_ @ 11.02.08, 10:45

Вот сдесь перехват WSARecv, WSARecvEx... переделай по аналогии на свою функцию:

А в чем разница между функциями WSASend, WSASendTo, Send, SendTo?
Их надо все перехватывать или только одну WSASend хватит?
Можно перехватить все. Но нужно ли? Просто интересно...

Сниффер

Rouse_ — Mon, 11 Feb 2008 10:45:33 +0000

Rouse_:

Цитата sAshA20 @ 11.02.08, 08:36

А есть ли у кого то пример реализации перехвата функций WSASend и тому подобных?

Вот сдесь перехват WSARecv, WSARecvEx... переделай по аналогии на свою функцию:
Перехват recv

Сниффер

sAshA20 — Mon, 11 Feb 2008 08:36:30 +0000

sAshA20: А есть ли у кого то пример реализации перехвата функций WSASend и тому подобных? Гуглил... не нашол... Плиз помогите! :wall:

Сниффер

Катенька — Sun, 10 Feb 2008 12:33:16 +0000

Катенька:

Цитата dot @ 25.01.08, 06:06

Интересно, но у меня такого эффекта не наблюдалось !

На вот понаблюдай. Запусти сниффер Rouse_'а, потом запусти эту прогу, введи свой айпи, когда ты в инете, и попробуй грузануть Форум на исходниках. ;)

Сниффер

sAshA20 — Sun, 10 Feb 2008 11:51:36 +0000

sAshA20:

Цитата Oleg2004 @ 10.02.08, 11:43

Скорее всего это будет WSASend()

А примеры есть?
Ибо я не имею представления как это сделать

Сниффер

Oleg2004 — Sun, 10 Feb 2008 11:43:58 +0000

Oleg2004:

Цитата sAshA20 @ 10.02.08, 11:30

И только эту одну функцию?

Скорее всего это будет WSASend()
Вот тут подробное описание методов - правда для С++
Но идея одна и та же
Еще смотрите здесь - там на паскале есть примерчики
Еще здесь

Сниффер

sAshA20 — Sun, 10 Feb 2008 11:30:05 +0000

sAshA20:

Цитата medved_68 @ 07.02.08, 05:27

то зачем перехват приема

Извините, грубейшая механическая ошибка! Вместо send написал recv! В тот момент читал статейку о recv и перепутал.

Так вот повторяю вопрос, но теперь уже правильно:
Мне нужно перехватывать send для моих целей? И только эту одну функцию?
Может у кого то есть пример перехвата send и тому подобных?

Цитата sAshA20 @ 05.02.08, 09:25

Я в хуках не силен и слабо представляю себе их. Может кто хорошо разобрался с ними подскажет мне?
Если понадобится можна подогнать прогу под конкретный браузер (если они используют разные функции для формирования запросов).

Сниффер

medved_68 — Thu, 07 Feb 2008 05:27:06 +0000

medved_68:

Цитата sAshA20 @ 05.02.08, 09:25

А што если поставить хуки на функции, которые формируют и отправляют запрос браузера?

Цитата sAshA20 @ 06.02.08, 23:34

А не функцию recv ли нада перехватывать для моих целей?

sAshA20 сам себе противоречишь. Если ты не хочешь, чтобы пакет ушел в сеть - то зачем перехват приема? :D

Сниффер

sAshA20 — Wed, 06 Feb 2008 23:34:55 +0000

sAshA20:

Цитата sAshA20 @ 05.02.08, 09:25

што если поставить хуки на функции, которые формируют и отправляют запрос браузера? Таким образом можна перехватить и по надобности прервать запрос

А не функцию recv ли нада перехватывать для моих целей?

Только вот эту одну?

Сниффер

sAshA20 — Tue, 05 Feb 2008 09:25:00 +0000

sAshA20:

Цитата medved_68 @ 04.02.08, 05:40

такого рода "глушилки" делаются либо на прокси, либо на шлюзе.

А што если поставить хуки на функции, которые формируют и отправляют запрос браузера? Таким образом можна перехватить и по надобности прервать запрос?
Я в хуках не силен и слабо представляю себе их. Может кто хорошо разобрался с ними подскажет мне?
Если понадобится можна подогнать прогу под конкретный браузер (если они используют разные функции для формирования запросов).

Сниффер

medved_68 — Mon, 04 Feb 2008 05:40:56 +0000

medved_68:

Цитата sAshA20 @ 03.02.08, 12:10

Перед прочтением документации был уверен, что это возможно. Теперь есть сомнения: возможно ли?

Нет. Обычно такого рода "глушилки" делаются либо на прокси, либо на шлюзе.

Сниффер

sAshA20 — Sun, 03 Feb 2008 12:10:41 +0000

sAshA20:

Цитата Rouse_ @ 22.01.08, 12:30

ищи статьи по WinPCap

Изучаю родную документацию WinPCap... Есть непонятки...
Вопрос: Можна ли, использую WinPCap, перехватывать исходящие пакеты, в которых содержится запрос браузера. Как это реализовать?
Под перехватом здесь понимается буферизация тех пакетов, которые содержат нужные запросы браузера. В сеть они не идут! Они идут в сеть лиш после того, как юзер подтвердит надобность в запрашиваемом ресурсе (файле, странице и т.д.). Всем остальным пакетам - свобода действий.

Перед прочтением документации был уверен, что это возможно. Теперь есть сомнения: возможно ли?

Сниффер

dot — Fri, 25 Jan 2008 06:06:51 +0000

dot:

Цитата Катенька @ 22.01.08, 18:02

дальше в коде не было реализовано продолжение принятия и страница в браузере дальше не грузилась

Интересно, но у меня такого эффекта не наблюдалось !

Вообще по идее равсокет работает параллельно с приложениями и если он не принимает пакеты то они всё равно продолжают идти, ведь это всего лишь сниффер !
Я в своей программе делал блокировку портов через Packet Filtering... Я прикрепил пару модулей.

FLTDEFS.pas - это файл в котором описываются функции и типы данных Pf
UProtection.pas - модуль со сниффером и упрощёнными функциями Pf.

Сниффер конечно же Rouse_ :)

Сначала вызываем StartProtection(Host - адрес к которому привязываемся, Mask - по идее маска но у меня почему-то работает только '255.255.255.255'...)

Затем PfDenyIP2Port / PfAllowIP2Port ... , при закрытии приложения StopProtection.
Код ещё в разработке так что если там где-то нету try..except, try..finally то не бить ! :)

А ну ещё в главной форме (у меня FMainNFW) нужна процедура OnPacket. В ней читаем информацию о пакете:

SnifferThread:

strPacket: string; // пакет

strSrcIP: string; // откуда пришёл (IP)

strDstIP: string; // куда пришёл (IP)

intSrcPort: Word; // с какого порта пришёл

intDstPort: Word; // на какой порт пришёл

и решаем что делать, здесь можно вызвать PfDenyIP2Port, PfAllowIP2Port.

А, и ещё - сниффер просматривает только TCP-пакеты (так нужно было), не составит труда добавить по надобности и другие протоколы

Сниффер

Катенька — Tue, 22 Jan 2008 18:02:32 +0000

Катенька:

Цитата Rouse_ @ 22.01.08, 11:10

Поэтому даже дописыванием кода тут не решить. Тут должен работать NDIS драйвер...

Эмм... У Вас же в коде это и делается, только пакеты до конца доходят, точнее Вы продолжаете его принимать до конца.

while not Terminated do

begin

// Ждем получения пакета (блокирующий режим)

PacketSize := recv(hSocket, Packet, MAX_PACKET_SIZE, 0);

// Если есть данные - производим их разбор

if PacketSize > SizeOf(TIPHeader) then ParcePacket(PacketSize);

end;

finally

// В конце освобождаем занятые ресурсы

DeInitSocket(NO_ERROR);

end;

А если сделать буффер поменьше для приёма и не продолжать принимать то ожидание как раз и будет остановкой. По крайней мере я когда писала и проверяла, у меня было именно так, я грузила страницу в браузере и мой сниффер в котором был размер буффера 1024 принял данные такого размера а дальше в коде не было реализовано продолжение принятия и страница в браузере дальше не грузилась. Так что драйвер и не нужен. Ведь мы привязываемся к интерфейсу и принимаем данные, если мы не будем продолжать принимать то данные стоят в очереди.

По-пробуйте сами ;)

Сниффер

Rouse_ — Tue, 22 Jan 2008 12:30:04 +0000

Rouse_:

Цитата sAshA20 @ 22.01.08, 12:16

Можна поподробней, пожалуйста?

Попробуй вот это помотреть: http://www.tisbi.ru/resource/lib/Eltext/BookPrSistSecurity/Glava%203/GL3.htm
Это теория. Самостоятельно ты врятли будешь писать драйвер, так-что после прочтения теории ищи статьи по WinPCap

Сниффер

sAshA20 — Tue, 22 Jan 2008 12:16:39 +0000

sAshA20:

Цитата Rouse_ @ 22.01.08, 11:10

Тут должен работать NDIS драйвер...

Можна поподробней, пожалуйста? :huh:

Больше ни у кого никаких идей? :(

Сниффер

Oleg2004 — Tue, 22 Jan 2008 11:14:23 +0000

Oleg2004:

Цитата sAshA20 @ 22.01.08, 10:47

Перенаправлять пакеты с запросами на отдельный порт (каждый файл на свой порт).

Открытый порт на клиенте - это одно приложение (те одна программа) - этот порт выделяется при выполнении коннекта - и более не меняется. Порт выделяется броузером также для новой закладки (многопоточный клиент).

Сниффер

Rouse_ — Tue, 22 Jan 2008 11:10:11 +0000

Rouse_: На том уровне на котором работает данный сниффер пакеты заблокировать уже нельзя... Поэтому даже дописыванием кода тут не решить. Тут должен работать NDIS драйвер...

Сниффер

sAshA20 — Tue, 22 Jan 2008 10:57:23 +0000

sAshA20:

Цитата Rouse_ @ 22.01.08, 10:53

Нет, для этого он не предназначен...

Я имею ввиду дописать код этого сниффера.
А как на счет идей??? Подскажите, пожалуйста!

Сниффер

Rouse_ — Tue, 22 Jan 2008 10:53:41 +0000

Rouse_: Нет, для этого он не предназначен...

Сниффер

sAshA20 — Tue, 22 Jan 2008 10:47:26 +0000

sAshA20:

Цитата Oleg2004 @ 21.01.08, 13:08

который будет селективно выбирать нужные кому-то файлы, а остальные игнорировать

А можна ли, используя код сниффера (см. сообщ # 1), буферизировать пакеты с запросами на отдельные файлы и посылать их адресату в том случае, если ми указуем этот файл как нужный (разрешаем его загрузку)?

ИЛИ

Перенаправлять пакеты с запросами на отдельный порт (каждый файл на свой порт). В том случае, если ми хотим отменить загрузку отдельного файла - просто закрываем порт или что-то в таком роде чтобы он не загружался. А?

Сниффер

Oleg2004 — Mon, 21 Jan 2008 14:48:24 +0000

Oleg2004:

Цитата sAshA20 @ 21.01.08, 14:41

А как тогда это реализовано в программе Naviscope

Сие мне неизвестно - да и в описании программы об этом я не нашел

Сниффер

sAshA20 — Mon, 21 Jan 2008 14:41:53 +0000

sAshA20:

Цитата Oleg2004 @ 21.01.08, 13:08

Нет, такого действия в протоколе http нет, можно лишь оборвать передачу.

Точно нельзя??? Очень жаль! :(
А как тогда это реализовано в программе Naviscope официальный сайт сама прога?
Только из-за того что она прокси? Только прокси может отменять загрузку отдельного файла?

Сниффер

Oleg2004 — Mon, 21 Jan 2008 13:08:37 +0000

Oleg2004:

Цитата Rouse_ @ 21.01.08, 12:13

иначе она так и останется голой теорией

Я все-таки сторонник совпадения теории и практики - тем более что практика в программировании есть прямое отражение теории.
И поэтому отсебятину производителей софта - недокументированную - я не приветствую.

Добавлено 21.01.08, 13:13

Цитата sAshA20 @ 21.01.08, 12:23

Могу я отменить загрузку любого из них

Нет, такого действия в протоколе http нет, можно лишь оборвать передачу.
Если только не писать собственный веб-броузер, который будет селективно выбирать нужные кому-то файлы, а остальные игнорировать.
Впрочем, некоторые подобные настройки в броузерах есть - типа - не грузить изображения...
Но чтобы прерывать на середине.... :blink:

Сниффер

Astrafox — Mon, 21 Jan 2008 12:25:50 +0000

Astrafox: sAshA20 Возможно поможет Проект Skynet

Сниффер

sAshA20 — Mon, 21 Jan 2008 12:23:53 +0000

sAshA20: Припустим, я знаю имена файлов, которые грузит браузер в данный момент. Могу я отменить загрузку любого из них (тех которые еще грузятся или будут грузится)зная это? Или что для этого нада и как это сделать?

Сниффер

Rouse_ — Mon, 21 Jan 2008 12:13:49 +0000

Rouse_: Просто обьяснять сам принцип очень долго, а готового примера чтоб на пальцах показать у меня нет, как и времени его писать :) Так что только там, ну или тут кто что мошт расскажет :)

Добавлено 21.01.08, 12:16

Цитата Oleg2004 @ 21.01.08, 12:13

Или же мне не верить Стивенсу? Но он гуру в *nix'ах а тут виндовоз
Или не верить всем поисковикам?
Всем группам новостей?

Верить или не верить - мы же программисты а не бабки гадалки. Достаточно один раз самому проверить :) Я много раз так натыкался, когда встает задача - пробегаю поиском, везде написано что это невозможно. Сажусь сам делать - почему-то работает :) Так что вопрос спорный, теория всегда должна быть обильно разбавленна практикой, иначе она так и останется голой теорией :)

Сниффер

Oleg2004 — Mon, 21 Jan 2008 12:13:45 +0000

Oleg2004:

Цитата medved_68 @ 21.01.08, 11:49

Но это на самом деле так, по крайней мере у меня.

Ну ладно, как я сам на практике убедился, ловит.
А теперь уже серьезно: :wub:
Где можно об этом прочитать - точно?
Или же мне не верить Стивенсу? Но он гуру в *nix'ах а тут виндовоз <_<
Или не верить всем поисковикам?
Всем группам новостей?
Или же у Билла как всегда с сетевой проблематикой нелады :wacko:
Я в шоке :wall:

Цитата sAshA20 @ 21.01.08, 11:56

какие файли он загрузил, их тип, размер?
Как дело обстоит с контентом, который закеширован?

Для того, чтобы парсить http-responce - те ответ сервера - вам надо в первую очередь хорошо знать основы HTTP-протокола - поля заголовков, как пересылаются данные, и тд и тп - и это к сетевому программированию напрямую не относится - это WEB-программирование - тогда вы увидите, какие файлы загружены, тип (что просите - то и получаете) и все остальное. Без этих знаний вы ничего не сможете правильно разобрать.

Сниффер

sAshA20 — Mon, 21 Jan 2008 12:07:37 +0000

sAshA20:

Цитата Rouse_ @ 21.01.08, 12:01

щи примеры тут: http://sourceforge.net/search/?words=Sniff...newfilter=Apply

Вот это остенно посмотри: http://sourceforge.net/projects/packetyzer/

:-))) Огромное спасибо!!! Сейчас посмотрю!
P.S. И-нет у меня ну очень медленный, проблемно что-то искать (а в sourceforge.net вообще штиль)

Сниффер

Rouse_ — Mon, 21 Jan 2008 12:01:18 +0000

Rouse_: Ищи примеры тут: http://sourceforge.net/search/?words=Sniffer&type_of_search=soft&pmode=0&inex=1&sortselect=trove__160®istration_date__0=&trove__225=456&trove__274=369&trove__160=265&trove__199=426&trove__13=14&trove__1=534&trove__6=7&trove__496=499&newfilter=Apply

Вот это остенно посмотри: http://sourceforge.net/projects/packetyzer/

Сниффер

sAshA20 — Mon, 21 Jan 2008 11:56:00 +0000

sAshA20:

Цитата Rouse_ @ 21.01.08, 11:47

Только анализируя входящий контент...

Извините, что так туго мне доходит, но не можете ли по подробнее, пожалуйста.
Вы можете обьяснить, используя лог, какие файли он загрузил, их тип, размер?
Как дело обстоит с контентом, который закеширован?

Сниффер

medved_68 — Mon, 21 Jan 2008 11:49:57 +0000

medved_68:

Цитата Oleg2004 @ 21.01.08, 10:18

А эту фразу я вообще отказываюсь понимать

:D Но это на самом деле так, по крайней мере у меня.Oleg2004 просмотрите мою тему об этом годовалой давности - там я "парился" практически идентичным с точностью наоборот вопросом. Да и программки как сетевого, так и канального уровня я вам сбрасывал, для проверки так сказать. :D

Цитата Rouse_ @ 21.01.08, 10:32

В логе наглядно видны как входящие, так и исходящие пакеты Кому верить? Своим глазам или Barry Margolin-у?

Честно говоря - "что вижу, о том пою". :D

Сниффер

Rouse_ — Mon, 21 Jan 2008 11:47:18 +0000

Rouse_:

Цитата Oleg2004 @ 21.01.08, 11:30

почемуто текстбокс с опциями фильтрования остается там где он был в неполном окне

Да это тестовый, я для себя для отладки делал, в стандартном примере фильтрации по порту нет. Забыл выравнивание указать :)

Цитата sAshA20 @ 21.01.08, 11:44

Ну все же, как увидеть в этом имя, тип, размер файла?

Только анализируя входящий контент...

Добавлено 21.01.08, 11:48

Цитата sAshA20 @ 21.01.08, 11:44

Какой то у Rouse_ секрет всетаки в коде

никакого секрета - чистая практика :)

Сниффер

sAshA20 — Mon, 21 Jan 2008 11:44:02 +0000

sAshA20:

Цитата Rouse_ @ 21.01.08, 10:32

Вот лог того что ловит данный сниффер на моей машине при запросе данной страницы, т.е. при открытии следующего URL: Сниффер

Ну все же, как увидеть в этом имя, тип, размер файла?

Сниффер

Oleg2004 — Mon, 21 Jan 2008 11:30:31 +0000

Oleg2004: Кстати, когда делаешь фуллскрин вашему снифферу - почемуто текстбокс с опциями фильтрования остается там где он был в неполном окне :)
Нда, ну а дальше - пишу заявление об отставке :(
Ибо теория говорит совсем не то - да и поисковики тоже............ :'(
Ну вот например еще одно с гуглегруп:
Fragment of our code:

Цитата

socket( AF_INET, SOCK_RAW , IPPROTO_IP ) ;
setsockopt( rawsocket , SOL_SOCKET , SO_RCVTIMEO, (const char *)&rcvtimeo ,
sizeof(rcvtimeo) );
bind(rawsocket,(PSOCKADDR)&sa, sizeof(sa));
ioctlsocket( rawsocket, SIO_RCVALL, &flag));
recv(rawsocket, (char*)(buffer) , sizeof(buffer), 0 );

There is the problem to capture outgoing traffic from own computer. We see
only incoming IP packets.

И это пишется сплошь и рядом везде.......
Какой то у Rouse_ секрет всетаки в коде....... :wall: :wall: :wall:

Сниффер

Rouse_ — Mon, 21 Jan 2008 11:24:52 +0000

Rouse_:

Цитата Oleg2004 @ 21.01.08, 11:21

Ловит.

Если с NAT-ом похимичить ловить не будет :) Дома у меня к примеру не ловит, но там хитрый конфиг :) Но в остальных 90 процентов случаев ловит :)

Сниффер

Oleg2004 — Mon, 21 Jan 2008 11:21:39 +0000

Oleg2004: Rouse_
Блииииииииин!!!
Ловит.
У меня крышу сносит - ей ей :D
И где же тут собака порылась то - с точки зрения науки и техники???
Все, на пенсию, на пенсию........ :'(

Сниффер

Rouse_ — Mon, 21 Jan 2008 10:43:54 +0000

Rouse_: Одна :)

Сниффер

Oleg2004 — Mon, 21 Jan 2008 10:41:37 +0000

Oleg2004: Rouse_
И еще один вопрос - сколько сетевых карточек у вас на компе - потому что в коде вы биндите интерфейс для равсокета - что обычно не делается :)

Сниффер

Rouse_ — Mon, 21 Jan 2008 10:40:18 +0000

Rouse_: Экзешник...

Сниффер

Rouse_ — Mon, 21 Jan 2008 10:32:02 +0000

Rouse_:

Цитата Oleg2004 @ 21.01.08, 10:18

Ну мы так вообще дойдем до неизвестно чего.........

Ну чтож... Вот лог того что ловит данный сниффер на моей машине при запросе данной страницы, т.е. при открытии следующего URL: Сниффер

В логе наглядно видны как входящие, так и исходящие пакеты :) Кому верить? Своим глазам или Barry Margolin-у? :)

Добавлено 21.01.08, 10:33

Цитата sAshA20 @ 21.01.08, 09:50

Обьясните, пожалуйста, очень подробно и доступно как это сделать

Времени сейчас на обьяснения нет, посомтрите на sourceforge.net примеры снифферов

Сниффер

Oleg2004 — Mon, 21 Jan 2008 10:18:33 +0000

Oleg2004:

Цитата Rouse_ @ 21.01.08, 07:56

Это как раз он и есть :) Только что запустил, чтоб ручками белиберду не вбивать

Ну мы так вообще дойдем до неизвестно чего.........
Читаем - groops.google.com

Цитата

Barry Margolin
Просмотреть профиль
Дополнительные параметры 15 апр 2006, 17:59
Группы новостей: comp.unix.programmer
Автор: Barry Margolin
Дата: Sat, 15 Apr 2006 11:59:06 -0400
Местное время: Сб. 15 апр 2006 17:59
Тема: Re: My simple tcp sniffer sniffs only incoming packts and not outgoing packets. Why ???
> Hi everybody.
> I'm trying to write a simple as possible tcp sniffer in C. It seems to
> work, it goes in promiscuous mode and sniffs packets but it sniffs ONLY
> incoming packets. I can't really figure out why it won't show me
> outgoing packets. Probably i'm missing something, but I don't know
> what.
Because read() is used to read things that you receive, and you don't
receive your own outgoing packets.

В программе Rouse_ есть только один recv() - и он в точности подпадает под цитату.
Все остальные мои поиски в Гуглях говорят о том (впрочем как Стивенс и все остальные статьи) - что Windows-сниффер на равсокетах не ловит уходящие пакеты - найдите мне хоть одно место в сети или в статье или в учебнике - это противоречит всем сетевым правилам.
Да, можно ловить с канального уровня - но пользовательскому уровню это доступно только в Linux, где есть такой сокет
sd=socket(AF_INET,SOCK_PACKET, htons(ETH_P_ALL));

Цитата medved_68 @ 21.01.08, 08:10

А вот пакеты с других компов (гуляющие в сетке до шлюза, но адресованные не ему) нет. А канальный ловит все.

А эту фразу я вообще отказываюсь понимать :wacko:
Если равсокет в неразборчивом режиме не ловит проходящие мимо карточки все тогда что означает эта фраза в коде:

Цитата

// Переключаем интерфейс на прием всех пакетов проходящих через интерфейс - promiscuous mode

- и кому тогда равсокет в сниффере нужен то? :blink:

Сниффер

sAshA20 — Mon, 21 Jan 2008 09:50:06 +0000

sAshA20:

Цитата Rouse_ @ 21.01.08, 06:30

нужно только добавить анализатор пакетов, который ловил бы начало запроса и все последующие пакеты...

Обьясните, пожалуйста, очень подробно и доступно как это сделать (алгоритм, исходники или зарисовки исходников). Можно на примере.

Еще вопросы:
Если, браузер грузит страницу (на странице есть, например, картинки), то браузер сам создает запроси в процессе загрузки на эти самие картинки или их вместе со страницей присылает сервер? :huh:

А как дело обстоит с контентом который уже закеширован (например HandyCache) и с запросами на них?

Вопрос ко всем: поясните мне, ученику, весь процес (ну очень подробно) от нажатия кнопки "Перейти" до надписи внизу экрана "Готово" процес загрузки браузером страниц и связанного с ней контента. Или дайте ссылку, пожалуйста, где это все п-о-д-р-о-б-н-о и д-о-с-т-у-п-н-о описано. Очень мало такого материала я встречал в И-нете. Может Вы знаете?

Сниффер

medved_68 — Mon, 21 Jan 2008 08:10:14 +0000

medved_68:

Цитата Oleg2004 @ 21.01.08, 07:38

потому как вот наш коллега пишет о такой возможности - а я, просматривая код, этой возможности не нашел

Oleg2004 ловит. :D А вот пакеты с других компов (гуляющие в сетке до шлюза, но адресованные не ему) нет. А канальный ловит все. :D

Цитата Катенька @ 21.01.08, 08:02

а это разве не запрос ?

Он самый. :)

Сниффер

Катенька — Mon, 21 Jan 2008 08:02:14 +0000

Катенька: [quote=Oleg2004,1200901112,1842255]Как всегда вопрос - означает ли это, что ваш сниффер на рав-сокетах ловит исходящие IP-пакеты?[/quote] он то ловит - так как программа привязана...
Только пакеты не обрабатывает, в отличае от входящих.

[quote=Oleg2004,1200901112,1842255]потому как вот наш коллега пишет о такой возможности - а я, просматривая код, этой возможности не нашел
PS
Вечная тема - ловит ли равсокет сниффер исходящие IP-пакеты
Надо один раз поставить точки над i [quote]GET http
000030 3A 2F 2F 77 77 77 2E 66 | 6C 63 2E 72 75 2F 69 6E ://www.flc.ru/in
000040 64 65 78 2E 70 68 70 3F | 69 64 3D 33 34 26 61 3D dex.php?id=34&a=
000050 6E 61 6D 65 73 65 61 72 | 68 26 6E 61 6D 65 3D 25 namesearh&name=%
000060 43 43 25 44 36 25 44 36 | 25 44 31 20 48 54 54 50 CC%D6%D6%D1[/quote] а это разве не запрос ? :unsure:

Сниффер

Rouse_ — Mon, 21 Jan 2008 07:56:47 +0000

Rouse_:

Цитата Oleg2004 @ 21.01.08, 07:38

означает ли это, что ваш сниффер на рав-сокетах ловит исходящие IP-пакеты?

Это как раз он и есть :) Только что запустил, чтоб ручками белиберду не вбивать :)

Сниффер

Oleg2004 — Mon, 21 Jan 2008 07:38:32 +0000

Oleg2004:

Цитата Rouse_ @ 21.01.08, 06:30

который ловил бы начало запроса и все последующие пакеты...

Как всегда вопрос - означает ли это, что ваш сниффер на рав-сокетах ловит исходящие IP-пакеты?

Цитата medved_68 @ 21.01.08, 05:35

Приведенный тобою пример сниффера довольно успешно может читать HTTP запрос браузера, который отправляется с этого же компа, на котором запущен сей сниффер.

потому как вот наш коллега пишет о такой возможности - а я, просматривая код, этой возможности не нашел :(
PS
Вечная :D тема - ловит ли равсокет сниффер исходящие IP-пакеты :)
Надо один раз поставить точки над i :yes:

Сниффер

Rouse_ — Mon, 21 Jan 2008 07:23:24 +0000

Rouse_: Эмм... Ну я могу только в общих чертах описать. Скажем берем запрос на получаение некоего контента:

000000 45 00 01 FD 97 63 40 00 | 80 06 DF BD C0 A8 00 24 E....c@........$

000010 C0 A8 00 65 06 2C 1F 90 | C2 91 D0 C8 29 18 76 22 ...e.,.....).v"

000020 50 18 FF 02 7C 0F 00 00 | 47 45 54 20 68 74 74 70 P...|...GET http

000030 3A 2F 2F 77 77 77 2E 66 | 6C 63 2E 72 75 2F 69 6E ://www.flc.ru/in

000040 64 65 78 2E 70 68 70 3F | 69 64 3D 33 34 26 61 3D dex.php?id=34&a=

000050 6E 61 6D 65 73 65 61 72 | 68 26 6E 61 6D 65 3D 25 namesearh&name=%

000060 43 43 25 44 36 25 44 36 | 25 44 31 20 48 54 54 50 CC%D6%D6%D1 HTTP

000070 2F 31 2E 30 0D 0A 41 63 | 63 65 70 74 3A 20 69 6D /1.0..Accept: im

000080 61 67 65 2F 67 69 66 2C | 20 69 6D 61 67 65 2F 78 age/gif, image/x

000090 2D 78 62 69 74 6D 61 70 | 2C 20 69 6D 61 67 65 2F -xbitmap, image/

000100 6A 70 65 67 2C 20 69 6D | 61 67 65 2F 70 6A 70 65 jpeg, image/pjpe

000110 67 2C 20 61 70 70 6C 69 | 63 61 74 69 6F 6E 2F 78 g, application/x

000120 2D 73 68 6F 63 6B 77 61 | 76 65 2D 66 6C 61 73 68 -shockwave-flash

000130 2C 20 61 70 70 6C 69 63 | 61 74 69 6F 6E 2F 76 6E , application/vn

000140 64 2E 6D 73 2D 65 78 63 | 65 6C 2C 20 61 70 70 6C d.ms-excel, appl

000150 69 63 61 74 69 6F 6E 2F | 76 6E 64 2E 6D 73 2D 70 ication/vnd.ms-p

000160 6F 77 65 72 70 6F 69 6E | 74 2C 20 61 70 70 6C 69 owerpoint, appli

000170 63 61 74 69 6F 6E 2F 6D | 73 77 6F 72 64 2C 20 2A cation/msword, *

000180 2F 2A 0D 0A 52 65 66 65 | 72 65 72 3A 20 68 74 74 /*..Referer: htt

000190 70 3A 2F 2F 77 77 77 2E | 66 6C 63 2E 72 75 2F 3F p://www.flc.ru/?

000200 69 64 3D 33 34 0D 0A 41 | 63 63 65 70 74 2D 4C 61 id=34..Accept-La

000210 6E 67 75 61 67 65 3A 20 | 72 75 0D 0A 50 72 6F 78 nguage: ru..Prox

000220 79 2D 43 6F 6E 6E 65 63 | 74 69 6F 6E 3A 20 4B 65 y-Connection: Ke

000230 65 70 2D 41 6C 69 76 65 | 0D 0A 55 73 65 72 2D 41 ep-Alive..User-A

000240 67 65 6E 74 3A 20 4D 6F | 7A 69 6C 6C 61 2F 34 2E gent: Mozilla/4.

000250 30 20 28 63 6F 6D 70 61 | 74 69 62 6C 65 3B 20 4D 0 (compatible; M

000260 53 49 45 20 36 2E 30 3B | 20 57 69 6E 64 6F 77 73 SIE 6.0; Windows

000270 20 4E 54 20 35 2E 31 3B | 20 53 56 31 3B 20 2E 4E NT 5.1; SV1; .N

000280 45 54 20 43 4C 52 20 32 | 2E 30 2E 35 30 37 32 37 ET CLR 2.0.50727

000290 29 0D 0A 48 6F 73 74 3A | 20 77 77 77 2E 66 6C 63 )..Host: www.flc

000300 2E 72 75 0D 0A 43 6F 6F | 6B 69 65 3A 20 74 65 73 .ru..Cookie: tes

000310 74 43 6F 6F 6B 69 65 3D | 31 0D 0A 0D 0A tCookie=1....

Запоминаем параметры соединения т.е. IP и порт и смотрим что придет оттуда до следующего запроса на Destination Addr... Это и будет сам контент.
К примеру фильтр включается как только будет пойман исходящий GET http://

Вообще у меня в разработке сейчас идет снифер с анализатором на базе PSSDK, но когда я его завершу и отдам на всеобщее обозрение - не знаю... Времени мало на его полноценную разработку. Вообще посмотри на sourceforge.net - там были примеры таких снифферов с анализаторами...