首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
[求助]关于wfp驱动在f5 ssl vpn下connect出现的问题
发表于: 2017-4-12 15:08 5686

[求助]关于wfp驱动在f5 ssl vpn下connect出现的问题

netcos 活跃值
2017-4-12 15:08
5686

最近用wfp在做代理,用于劫持用户的tcp连接到我们自己的代理服务器上,原理是通过在FWPM_LAYER_ALE_CONNECT_REDIRECT_V4层对用户的目的ip和端口进行修改。在正常情况下工作是没问题的。但是采用f5 ssl vpn以后发现在connect里获取到的ip不是用户访问的ip而是一个本地地址。

打印如下:


134.96.*.*是要访问的目标设备,202.96.*.*是vpn地址。从日志可以看出我们在进行劫持的时候数据包已经发生了变化。

因此我得出两种可能性,一种是我的wfp优先级不够,于是我调整了优先级,发现没效果,也有可能是我调整的方式有问题:

    mFilter.subLayerKey = FWPM_SUBLAYER_UNIVERSAL;

    mFilter.weight.type =  FWP_UINT8;

    mFilter.weight.uint8 =  0xf;

另一种是根本还没进入wfp的时候数据包已经发生了改变。


想问问大家怎么看这个问题


[课程]Linux pwn 探索篇!

收藏
免费 0
支持
分享
最新回复 (6)
layerfsd
雪    币: 8188
活跃值: (2772)
能力值: ( LV9,RANK:180 )
在线值:
发帖
回帖
粉丝
私信
2
ssl  vpn是在miniport就改包了,比你的wfp早了一万年
2017-4-12 21:36
0
netcos
雪    币: 3
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
miniport是在数据链路层吧,客户端进行connect操作的时候从上往下最后才会经过链路层
2017-4-13 08:58
0
netcos
雪    币: 3
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
win10  数据流的顺序应该是ws2_32.dll  ->  spi  ->  wfp  ->ndis  ->  设备驱动  ->网卡,win10下已经不支持lsp,也就是说想在wfp之前修改数据只能通过hook的方式实现?
2017-4-13 17:24
0
cvcvxk
雪    币: 8865
活跃值: (2379)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
私信
5
LSP  win10是有的
哪个鸟人说的不支持
2017-4-16 15:50
0
netcos
雪    币: 3
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
cvcvxk LSP win10是有的 哪个鸟人说的不支持
https://msdn.microsoft.com/zh-cn/vstudio/ms741574(v=vs.80)
这个算吗?
Note    Layered  Service  Providers  are  deprecated.  Starting  with  Windows  8  and  Windows  Server  2012,  use  Windows  Filtering  Platform.
2017-4-17 15:47
0
cvcvxk
雪    币: 8865
活跃值: (2379)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
私信
7
netcos https://msdn.microsoft.com/zh-cn/vstudio/ms741574(v=vs.80) 这个算吗? Note Layered Service Providers a ...
人家微软说的是LSP弃用了,不是说不支持了。deprecated是弃用,不要用的
英语啊,英语啊


2017-4-20 01:29
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//