промежуточный драйвер поверх устройства VPN

Через драйвер должен идти трафик соединения VPN. Как я понял VPN client создает свое устройство, через которое и идет это виртуальное соединение. Как мне на это устройство посадить свой промежуточный драйвер? Или может я в чем ошибаюсь?

 

promtpol
Посмотри, какое устройство в ядре создает VPN client, создай свой device_object и приаттачить его к стеку этого устройства. IM драйвер здесь не нужен

 

Но мне то надо получать пакеты и записывать куданить на диск

 

promtpol
А что тебе мешает? ))
Тебе нужно либо аттачиться к нужному device_object твоего VPN-клиента, либо перехватывать некоторые функции Ndis.

 

то есть какой драйвер мне нужен чтоб приаттачиться к этому устройству?
перехватывать функции не пойдет

 

Для контроля / перехвата сетевого трафика нужен фильтр таких устройств - \\device\\tcp, \\device\\ip \\device\\rawip, \\device\\udp (в зависимости от того, что тебе нужно).
Создаешь свое устройство IoCreateDevice, получаешь ссылку на то устройство, к которому хочешь приаттачиться, а затем вызываешь IoAttachDeviceToDeviceStack. Вызов IoAttachDeviceToDeviceStack поместит твой фильтр на вершину стека.
После этого, все IRP-пакеты, предназначенные для фильтруемого устройства, будут проходить через твой фильтр. Тебе останется только написать функцию фильтра пакетов.

 

Но чтобы фильтр работал надо чтоб еще он выполнял все,что выполняет драйвер устройства,к которому аттачимся. Это я как узнаю?

 

promtpol
Фильтру вовсе не обязательно наследовать всю функциональность того устройства, к которому он подключается.
Ему достаточно перехватывать и анализировать IRP-пакеты, передаваемые девайсу,
а они для всех устройств одинаковые, обычно перехватвается MajorFunction IRP_MJ_INTERNAL_DEVICE_CONTROL.

 

В общем необходим драйвер-фильтр,который создает устройство,цепляющееся к устройству создаваемому VPN и будет получать все Irp пакеты идущие на это устройство?А VPN client то получит эти пакеты и передаст дальше?Он ведь шифрует данные, я ведь не могу за него это делать

 

Именно так

В этом и есть главная проблема. Так как шифрование происходит в юзермоде, вниз по стеку к сетевой карте пакет будет уходить уже зашифрованным. И перехват пакета в ядре тебе не поможет.

 

ну вообще Ethereal или TcpDump все перехватывают в незашифрованном виде. как так? Или они тоже типа в юзер-моде? чето не кажется

 

promtpol
ethereal при перехвате SSL-трафика, насколько я помню, действует по принципу "MITM", т.е. путем подмены SSL-сертификата, насчет TcpDump не знаю, не копался

 

То есть получается что драйвером не получится перехватить в незашифрованном виде?Как тогда можно?

 

Перехватывай функции Winsock в юзермоде - что-то типа HttpSendRequest и пр., т.е. пока данные не зашифрованы, либо если речь идет о перехвате веб-форм - подсовывать браузеру BHO (что очень палевно и не есть гуд)

 

Но мне кажется в юзер моде без палева ничего не перехватишь, даже каспер будет вякать

 

нужно ресерчить клиент, ищи фунцию инкапсуляции в ipsec пакет, перехватывай функцию. В ядре ( если инкап. реадизовано в ринг 3 ) перехватывать безтолку.

А если там свой стек ?

 

Но ведь все таки насколько я знаю,VPN реализует свой промежуточный драйвер,который и шифрует и дешифрует трафик. И еще,у меня Vpn client от Cisco.Может он как то не так работает?

 

Ещё раз говорю, надо смотреть. Быть может он юзает IPSEC виндовый вообще, кто его знает. Криптовать он может и на уровне ndis im.
Ты попробуй для начала приаттачится к устройству и глянуть что идет в IRP пакетах.
Вопрос: зачем тебе это надо?

 

мне надо сделать курсовую,где будет реализована какая-нибудь атака на VPN client.Это хоть и не атака,но для какой-нибудь узкой задачи подойдет.Тем более не так уж просто.Для 4курса пойдет Так что за помощь очень признателен.

 

WIN32 подкинул неплохую идею - насчет реверса VPN-клиента и перехвата функции инкапсуляции пакета