Meilleure application de système d'exploitation pour la capture de paquets SMTP sortante?

Question

D'accord, cela a probablement l'air terriblement néfaste, mais j'ai besoin de telles capacités pour mon projet senior. Je suis essentiellement chargé d’écrire quelque chose qui réduira le spam sortant sur un PC zombifié grâce à un système d’interception et d’évaluation de paquets. Nous avons recours à un certain nombre d’algorithmes pour les messages capturés, mais c’est la capture proprement dite - complète lors de l’interception plutôt que simplement en reniflant - qui me laisse un peu perplexe.

L'application est conçue pour Windows, je ne peux donc pas utiliser de tables IP. Je pourrais utiliser les librairies winpcap, mais je ne veux pas réinventer la roue si je n’y suis pas obligé. Ettercap semblait une bonne option, mais un test exécuté sur Vista à l’aide de fichiers binaires non officiels n’a entraîné que des pannes.

Alors, des suggestions?

Mise à jour: d'excellentes suggestions. Nous avons fini par réduire un peu le projet, mais j'ai quand même reçu un A. Je pense que la réponse d'Adam Mintz est probablement la meilleure, bien que nous ayons utilisé WinPcap et Wireshark pour l'application.

Answer 1

On dirait que vous devez écrire un LSP Winsock .

  

Une fois dans la pile, un fournisseur de services en couches peut intercepter et modifier le trafic Internet entrant et sortant. Il permet de traiter tout le trafic TCP / IP entre Internet et les applications accédant à Internet.

Answer 2

Ilkka: Je regardais Wireshark, mais d'après ce que je pouvais dire, cela ne traitait pas de l'aspect de l'interception - seulement du reniflement et de la journalisation. Ce que le professeur recherche, c’est empêcher les spams de se propager sur le réseau.

Adam: Je vais certainement me pencher sur Winsock. Je n'ai pas encore vérifié ça. La seule chose à faire, c'est que l'application doit être prête dans environ 2 mois. Par conséquent, s'il y a des applications de système d'exploitation construites à partir du SPI WinSock, je pourrais vouloir les relier. Connaissez-vous de la tête dans la tête?

Answer 3

Merci, CDV. Je vais examiner cela aussi. Bon appel à propos du contrôle de légalité. En fait, j'ai essayé d'utiliser des projets de licences publiques gnu jusqu'à présent.

Answer 4

Le package DSNIFF contient l'utilitaire mailsnarf. Il peut aussi saisir POP3. Il y a toutes sortes d'autres utilitaires de reniflement merveilleux. Assurez-vous que vous avez le droit légal avant d'utiliser ces outils (le droit légal d'intercepter le trafic d'autrui). Je crois que la documentation a plus d'informations sur la légalité. Selon la page Web, il existe également des ports Windows et Mac OS X.

Il ne serait pas trop difficile d’analyser la sortie texte du programme.

Answer 5

Je conviens que Wireshark pourrait être tout ce dont vous avez besoin. Si vous souhaitez écrire votre propre application de filtre et pouvoir utiliser Vista, consultez le Plateforme de filtrage Windows .

Answer 6

On pourrait penser que Wireshark résoudrait votre problème - aucune installation fastidieuse et très facile à utiliser.

Edit: Ah, je vois maintenant l’exigence d’interception par opposition à simplement renifler… dans ce cas, Wireshark seul ne le fera pas. Quelque soit l’équivalent d’iptables sous Windows, ce sera probablement.

Answer 7

tcpdump si vous avez besoin d'une ligne de commande ou de quelque chose de plus visuel, comme Wirehark

Si vous voulez écrire quelque chose sur votre propre utilisation, libpcap .

Answer 8

Utilisez Snort, si vous le souhaitez, s’il s’agit d’une opération à long terme. Il est conçu pour surveiller les paquets particuliers qui passent, examiner la charge utile si nécessaire, enregistrer des données et lancer des alertes.

Il est destiné à la détection d’intrusion, mais il constitue un excellent moniteur de réseau pour certaines choses lors d’une utilisation à long terme.