Verhindern, dass ein Netzwerkpaket mit bestimmter Größe ein Programm erreicht

Reply to Verhindern, dass ein Netzwerkpaket mit bestimmter Größe ein Programm erreicht on Thu, 28 Feb 2008 01:43:33 GMT

ceplusplus@loggedoff — Thu, 28 Feb 2008 01:43:33 GMT

Hey!

Ich muss einen einfachen (Ohne selber Treiber schreiben) Weg finden, um ein Netzwerkpaket bestimmter Größe noch bevor es ein Programm erreicht, zu verwerfen.

Könnt ihr mir dabei helfen? Ich weiß nicht, wie ich vorgehen soll.

Danke!
MfG

Reply to Verhindern, dass ein Netzwerkpaket mit bestimmter Größe ein Programm erreicht on Thu, 28 Feb 2008 06:00:52 GMT

Jochen Kalmbach — Thu, 28 Feb 2008 06:00:52 GMT

Netzwerkkabel ziehen.

Reply to Verhindern, dass ein Netzwerkpaket mit bestimmter Größe ein Programm erreicht on Thu, 28 Feb 2008 08:24:57 GMT

Fake Oder Echt@work — Thu, 28 Feb 2008 08:24:57 GMT

Jochen Kalmbach schrieb:

Netzwerkkabel ziehen.

seit wann trollst du?

Reply to Verhindern, dass ein Netzwerkpaket mit bestimmter Größe ein Programm erreicht on Thu, 28 Feb 2008 08:40:22 GMT

Jochen Kalmbach — Thu, 28 Feb 2008 08:40:22 GMT

Ich hätte eher die Frage als "Trolling" bezeichnet... Wenn er kein Filter-Triber schreiben will, dann ist es sehr schwer... ok er könnte in den Prozess eine DLL-Injekten und die APIs Hooken...

Reply to Verhindern, dass ein Netzwerkpaket mit bestimmter Größe ein Programm erreicht on Thu, 28 Feb 2008 08:48:10 GMT

Airdamn — Thu, 28 Feb 2008 08:48:10 GMT

unter Windows geht das nicht ohne weiteres, soweit ich weiß.
Es gibt aber Winpcap, womit man Pakete mitsniffen kann. Ob man sie auch vorzeitig verarbeiten kann, weiß ich nicht, aber ich denke schon.

Reply to Verhindern, dass ein Netzwerkpaket mit bestimmter Größe ein Programm erreicht on Thu, 28 Feb 2008 12:34:57 GMT

ceplusplus@loggedoff — Thu, 28 Feb 2008 12:34:57 GMT

Kein Troll bin

1.) Per API hook komm ich nicht weiter. Das Programm ist ein Server, zu dem mehrere Clients verbunden sind. Kommt nun das besagte Paket per WSARecvFrom() als "overlapped I/O" an, sendet der Server sofort eine Reaktion an alle Clienten, noch bevor ich reagieren kann. Genau das möchte ich verhindern.
Hab schon probiert, das Paket in "WSAGetOverlappedResult" auf 0 zu setzen, aber es bringt nichts Soll ich mal code posten?

2.) Ohne Treiber schreiben sehr schwer? Aber wie, außer durch API hooking, bei dem ich nicht weiterkomme, weil ich auch die Serverprogramm-Mechanik nicht wirklich kenne... ?

3.) Per WinPCap kann man keine Pakete verwerfen, zumal ich es gerne lösen möchte, ohne dass der User extra Treiber installieren muss...

MfG

Reply to Verhindern, dass ein Netzwerkpaket mit bestimmter Größe ein Programm erreicht on Thu, 28 Feb 2008 12:37:59 GMT

Jochen Kalmbach — Thu, 28 Feb 2008 12:37:59 GMT

Wenn Du den Source des Servers nicht hast und kein Hooking kannst (warum nicht "WSARecvFrom" hooken) und keinen Treiber schreiben willst, musst Du halt wirklich das Netzwerkkabel ziehen!

Reply to Verhindern, dass ein Netzwerkpaket mit bestimmter Größe ein Programm erreicht on Thu, 28 Feb 2008 21:01:03 GMT

hustbaer — Thu, 28 Feb 2008 21:01:03 GMT

Nimm einen Router dessen Firmware Open-Source ist (z.B. irgendwas was mit der Tomato Firmware geht), und hack das in die Router Firmware rein.

Reply to Verhindern, dass ein Netzwerkpaket mit bestimmter Größe ein Programm erreicht on Fri, 29 Feb 2008 22:47:50 GMT

ceplusplus@loggedoff — Fri, 29 Feb 2008 22:47:50 GMT

Es soll ein Admin-Tool werden, daher nix mit Router-Firmware verändern.
Hab es doch schon mit hooking probiert, geht aber nicht...

#define WIN32_LEAN_AND_MEAN
#include 
#include 
#include 
#include 
using namespace std;

DETOUR_TRAMPOLINE(int WINAPI real_WSARecvFrom(SOCKET s, LPWSABUF lpBuffer, DWORD dwBufferCount, LPDWORD lpNumberOfBytesRecvd, LPDWORD lpFlags, sockaddr* lpFrom, int lpFromLen, LPWSAOVERLAPPED lpOverlapped, LPWSAOVERLAPPED_COMPLETION_ROUTINE lpCompletionRoutine), WSARecvFrom);
DETOUR_TRAMPOLINE(BOOL WSAAPI real_WSAGetOverlappedResult(SOCKET s, LPWSAOVERLAPPED lpOverlapped, LPDWORD lpcbTransfer, BOOL fWait, LPDWORD lpdwFlags), WSAGetOverlappedResult);
int WINAPI custom_WSARecvFrom(SOCKET s, LPWSABUF lpBuffer, DWORD dwBufferCount, LPDWORD lpNumberOfBytesRecvd, LPDWORD lpFlags, sockaddr* lpFrom, int lpFromLen, LPWSAOVERLAPPED lpOverlapped, LPWSAOVERLAPPED_COMPLETION_ROUTINE lpCompletionRoutine);
BOOL WSAAPI custom_WSAGetOverlappedResult(SOCKET s, LPWSAOVERLAPPED lpOverlapped, LPDWORD lpcbTransfer, BOOL fWait, LPDWORD lpdwFlags);

map queue;
map::iterator queueIterator;

BOOL WINAPI DllMain(HANDLE, DWORD reason, LPVOID)
{
    if(reason == DLL_PROCESS_ATTACH)
	{
        DetourFunctionWithTrampoline((PBYTE)real_WSARecvFrom, (PBYTE)custom_WSARecvFrom);
		DetourFunctionWithTrampoline((PBYTE)real_WSAGetOverlappedResult, (PBYTE)custom_WSAGetOverlappedResult);
	}
    else if(reason == DLL_PROCESS_DETACH)
	{
        DetourRemove((PBYTE)real_WSARecvFrom, (PBYTE)custom_WSARecvFrom);
		DetourRemove((PBYTE)real_WSAGetOverlappedResult, (PBYTE)custom_WSAGetOverlappedResult);
	}

    return true;
}

int WINAPI custom_WSARecvFrom(SOCKET s, LPWSABUF lpBuffer, DWORD dwBufferCount, LPDWORD lpNumberOfBytesRecvd, LPDWORD lpFlags, sockaddr* lpFrom, int lpFromLen, LPWSAOVERLAPPED lpOverlapped, LPWSAOVERLAPPED_COMPLETION_ROUTINE lpCompletionRoutine)
{
	int ret = real_WSARecvFrom(s, lpBuffer, dwBufferCount, lpNumberOfBytesRecvd, lpFlags, lpFrom, lpFromLen, lpOverlapped, lpCompletionRoutine);

	// If the operation completes immediately
	if(!ret)
	{
		// If it is the target packet, set it to 0
		if(*lpNumberOfBytesRecvd == 80)
			memset(lpBuffer->buf, 0, *lpNumberOfBytesRecvd);
	}
	// Else, save the indication to process in WSAGetOverlappedResult
	else
		queue.insert(pair(lpOverlapped, lpBuffer));

    return ret;
}

BOOL WSAAPI custom_WSAGetOverlappedResult(SOCKET s, LPWSAOVERLAPPED lpOverlapped, LPDWORD lpcbTransfer, BOOL fWait, LPDWORD lpdwFlags)
{
	BOOL ret = real_WSAGetOverlappedResult(s, lpOverlapped, lpcbTransfer, fWait, lpdwFlags);

	// I/O operation completed
	if(ret)
	{
		// Find the related buffer
		queueIterator = queue.find(lpOverlapped);
		if(queueIterator != queue.end())
		{
			// If it is the target packet, set it to 0
			if(*lpcbTransfer == 80)
				memset(queueIterator->second->buf, 0, *lpcbTransfer);

			queue.erase(queueIterator);
		}
	}

    return ret;
}

Funktioniert nicht. Der Server reagiert trotzdem auf das Paket, obwohl ich es doch auf 0 setze, bevor der Server mitbekommt dass der Puffer gefüllt wurde.
(Anmerkung: lpBuffer zeigt immer nur auf einen Puffer, hab das sehr lange beobachtet. Weiters wird sehr wohl memset ausgeführt, jedoch arbeitet der Server wie gewohnt weiter)

Ich versteh nicht, wie der Server einfach wie normal weiter funktioniert, obwohl ich die einkommenden Pakete auf 0 setze.

SOGAR, wenn ich ALLE einkommenden Pakete auf 0 setze, tritt nur ein kurzer lag auf und danach geht wieder alles normal weiter...

Reply to Verhindern, dass ein Netzwerkpaket mit bestimmter Größe ein Programm erreicht on Fri, 29 Feb 2008 22:54:40 GMT

Fake oder Echt — Fri, 29 Feb 2008 22:54:40 GMT

kann es sein, dass der server keine empfangsbestätigung bekommt und dann eben noch mal alles schickt? weil normalerweise kommt ja auch was zurück beim senden, ob es nun ein socket geschloßen oder pakete erfolgreich verschickt ist, oder irre ich mich da?

Reply to Verhindern, dass ein Netzwerkpaket mit bestimmter Größe ein Programm erreicht on Sat, 01 Mar 2008 11:37:27 GMT

ceplusplus@loggedoff — Sat, 01 Mar 2008 11:37:27 GMT

Aber warum reagiert er trotzdem auf neue Daten? Man kann ganz normal weiterspielen, nach einem kurzen lag...