如何将一个软件的TCP连接劫持到自己的服务器？

syouko

各位大佬好，本菜鸡近来遇到一个问题。
某软件，开启就会自动连接到一个服务器 A的指定端口。

本来在大版本更新前，它采用的是本地DNS解析。通过监控他的TCP连接和DNS查询找到了他连接的域名和端口。
修改了本地hosts达到了劫持连接到自己服务器的功能。
当时还笑他说 naive，换我我就用远程DNS。

结果求锤得锤，新版本换上了远程DNS，
看到开启时连接了 8888 dns.google ，dns-cloudflare.com，还有9.9.9.9 这三个DNS服务器，并且是https 443端口

这就是传说中的DOH吗？

一时间不知道该咋办了。

群里有大佬指点可以通过做假证书本地信任，然后hosts劫持这三个地址到自己假设的 dnsmasq 假dns服务器。

再查看他解析的域名，并将这些域名返回自己的服务器IP。


尝试了一番后失败了，有点没头绪了。

来请教大佬们，有什么好的解决办法？

HOH

直接修改二进制文件

syouko

HOH 发表于 2021-12-22 21:50
直接修改二进制文件

这个确实能力不足了...
不过已知程序是go写的

konololi

配置局域网NAT就能强制走网关吧，
然后在网关那里可以靠iptables进行流量转发

syouko

konololi 发表于 2021-12-22 21:57
配置局域网NAT就能强制走网关吧，
然后在网关那里可以靠iptables进行流量转发 ...

程序运行在国外小鸡上，是不是没法这样操作了= =

konololi

syouko 发表于 2021-12-22 21:58
程序运行在国外小鸡上，是不是没法这样操作了= =

如果是Linux的话直接在鸡子上本地iptables转就行了，不需要搞个网关绕一道。
鸡在你手上，总归能让它听话

jhu

试试在机器上屏蔽这三个远程DNS，这个软件会不会fallback到本地DNS解析。
使用类似与sockscap等软件，强制它使用指定的socks代理，然后在代理上做手脚，把包重定向到自己的服务器

syouko

jhu 发表于 2021-12-22 22:05
试试在机器上屏蔽这三个远程DNS，这个软件会不会fallback到本地DNS解析。
使用类似与sockscap等软件，强制 ...

试了一下，三个都不通直接不让跑了。。。。就退出了

syouko

konololi 发表于 2021-12-22 22:03
如果是Linux的话直接在鸡子上本地iptables转就行了，不需要搞个网关绕一道。
鸡在你手上，总归能让它 ...

它有可能是先解析三个远程DNS的IP，然后连过去。
既然是DOH的话，应该也要验证证书。
我试了下改hosts把这三个地址改到本地，然后本地搭dns，无果

konololi

syouko 发表于 2021-12-22 22:54
它有可能是先解析三个远程DNS的IP，然后连过去。
既然是DOH的话，应该也要验证证书。
我试了下改hosts把 ...

一种方案是这些解析放行，只劫持后面的连接，
这种劫持都得基于包篡改的，即软件本身以为连的是正确地址，但是你把实际网络包内容给改了让它连接到你服务器。
还有就是劫持DOH，同样也得进行包篡改。

注意这些不是动态的，而是会一次性劫持全部连接


根本不用那么麻烦，直接靠LD_PRELOAD之类的劫持调用的网络函数