Scapy를 IPS로 사용하여 패킷을 가로 채고, 선택하고 전달합니다.

Question

특정 요구에 따라 네트워크 트래픽 (IPS 모드)을 차단하고 선택한 패킷을 드롭해야합니다.
무차별 모드에서 두 개의 이더넷 NIC eth0 및 eth1이 있는데, eth0에서 패킷을 검색하고 특정 규칙에 따라 일부 패킷을 삭제 한 다음 선택한 패킷을 ethic으로 전달해야합니다.
Snort와 같은 IPS 시스템이 패킷을 가로 채고 필터링 할 수 있다는 것을 알고 있지만 가능한 경우 Scapy 라이브러리를 사용하여 Python 프로그램을 사용하는 것을 선호합니다.
Scapy와 함께 무차별 모드에서 2 개의 NIC를 사용하여 네트워크 트래픽을 가로 채고 전달할 수 있습니까?

Answer 1

Scapy에서 패킷을 가로 챌 수 없습니다.

Snort를 실행하면 IDS (네트워크 스니핑)가 중지되고 IPS (기본적으로 응용 프로그램 계층과 네트워크 계층을보고 결정을 내리는 방화벽)가됩니다.

원하는대로하려면 Netfilter, iptables의 NFQUEUE 대상 및 Python bindings for nfqueue (Debian 기반 배포판의 python-nfqueue 패키지)이 필요합니다.

Scapy는 패킷을 분석하여 ("이해"하고 선택적으로 변조 할 수 있습니다) 도움이 될 수 있습니다.

어쨌든 이것은 이 될 것입니다. 따라서 PoC에서 작업하지 않는 한 Snort 또는 Suricata를 사용하고 싶을 것입니다.