ohrwurm如何使用libpcap和arpspoof来破坏RTP流量?

我正在尝试评估名为ohrwurm的工具,该工具声称能够破坏两个SIP端点之间的RTP流量。 通过阅读其源代码,我不相信它有效,并且在我尝试之前想要其他人的意见。

它的前提很简单:

  • 假设端点A的IP地址为192.168.0.11,端点B的IP地址为192.168.0.22。
  • 在与A和B相同的子网上的第三个盒子C上,在两个SSH会话中执行以下命令:
    • arpspoof 192.168.0.11
    • arpspoof 192.168.0.22
  • 执行ohrwurm。

看一下ohrwurm的源代码,它执行以下操作:

  • 将/ proc / sys / net / ipv4 / ip_forward设置为1。
  • 在混杂模式下使用libpcap拦截上面两个框之间的所有IP数据包。
  • 对于那些SIP的数据包,请抓取RTP端口号。
  • 对于那些UDP以及之前抓取的两个RTP端口之间的数据包,请对RTP内容进行模糊处理。

这是我没有得到的。 我接受arpspoof’ing将导致A和B之间的所有IP流量通过C.然后,通过将/ proc / sys / net / ipv4 / ip_forward设置为1,我们正在让内核正确转发此IP流量我们。

但我认为libpcap是只读的? 如何修改我们在原地混杂模式中嗅探的数据包? 您会注意到ohrwurm.c第401行 ,我们甚至试图丢弃RTCP数据包! 这可能吗?

我对libpcap一无所知,我很想知道更多! 请教育我。 谢谢。

Libpcap无法修改数据包。 它只能用于审核它们。 您可以将其视为从接口到内核的数据包的基础。

Arpspoof需要其他库(如“Libnet”)来执行ARP欺骗。 http://arpspoof.sourceforge.net/ (请参阅“与arpspoof相关的链接”部分)

Libnet引入了一个API,可以访问多个协议。 它可用于创建任意数据包或动态修改数据包。 http://libnet.sourceforge.net/

一个很好的教程可以在http://networksecurity.org.ua/0596007949/networkst-chp-11-sect-4.html找到

    Interesting Posts

    我为什么要使用或不使用MSG_CONFIRM?

    linux ARP recvfrom信息