فك الرفوف: أدوات تحليل الحزمة

Question

أنا أبحث عن أدوات أفضل من wireshark لهذا. المشكلة مع Wireshark هي أنه لا تنسيق طبقة البيانات (وهو الجزء الوحيد الذي أبحث عنه) نظيفة بالنسبة لي بشكل نظيف لمقارنة الحزم المختلفة ومحاولة فهم ترميز الطرف الثالث (وهو مصدر مغلقة).

على وجه التحديد، ما هي بعض الأدوات الجيدة لعرض البيانات، وليس معلومات رأس TCP / UDP؟ خاصة، أداة تنسيق البيانات للمقارنة.

أن تكون محددة جدا: أود الحصول على برنامج يقارن ملفات متعددة (وليس فقط 2) في عرافة.

Answer 1

أفضل رهان الخاص بك، بصراحة، هو لفة خاصة بك.

احصل على لغة برمجة نصية تشعر بالراحة والبدء في القرصنة بعيدا عن المشكلة. أولا اكتب مقارنة بسيطة متعددة النقاط، ولكن بمجرد أن تبدأ في العثور على الأنماط التي تعتقد أنها مهمة (أو أنك تعتقد أنها قد تكون) عدها وإضافتها إلى التعليمات البرمجية - القضاء عليها من الإخراج، قم بتمييزها، ترجمةها في تدوين آخر، استبدلها ب "معنى" أو بعض وصفا رفيع المستوى لدورهم - كل ما يبدو مناسبا. إذا كنت لا تستطيع أن تقرر، اجعلها خيارا.

أنت تسأل عن برامج التصور لأنك تريد شيئا لمساعدتك في تشكيل واستيعاب فهم ترميزها. لكن المقارنات التي ستقدمها ليست سوى جزء من العملية التي ستستخدمها (وهي الطريقة العلمية بشكل أساسي) - ستشكل أيضا التخمينات وتعبئتها حول ما تعني أجزاء مختلفة من الحزم، وكيف تتفاعل ، إلخ.

لن تساعدك أي أداة مسبقة المبنية على وجودك هناك، ولكن لغة برمجية جيدة (تقول بيثون أو روبي، أو حتى بيرل) ستساعد كثيرا. كما تتشكل نظرية، رمزه لأعلى وجربه. millgle رمزك حولها، مما يجعل الأفكار المختلفة لأنها تحدث لك، بناء كيس من الحيل حسب الطلب لهذه المشكلة أثناء مرورك.

- Markusq.

PS لا تقع في فخ محاولة استخدام C أو Java أو شيء ما للقيام بذلك. سوف تلعب بسرعة وفقدان، ويجب أن يكون لها أداة لا تتطلب تصريحات متغيرة، وجزعة، إلخ. سيكون هناك فرصة كبيرة لتشديدها وإعادة كتابة ذلك بمجرد فهم كيفية عملها.

Answer 2

إلقاء نظرة على هذه المدونة وظيفة من مختبرات breakingpoint. وبعد إنهم يناقشون البروتوكول اليدوي هندسة عكسية ومجموعة من الأدوات المدمجة packetfu. لجعل هذه المهمة أسهل.

ذات الصلة لسؤالك هو مجموعة الأدوات التي تجعل من السهل تحديد التغييرات وتسليط الضوء على الحزم. فيما يلي Screenshot مثال يظهر استخدام اللون لتحديد اختلافات الحزمة:
_{(مصدر: breakingpointsystems.com.)}

Answer 3

مشكلتك ليست لتحليل بيانات الشبكة، ولكن مقارنة الملفات الثنائية كما تصف احتياجاتك.

أود استخراج بيانات التطبيق عن طريق أي شم، أي عن طريق TCPDump المستخدمة كما هو موضح بواسطة zoreadche، أو Wireshark (أي عن طريق اتباع جلسة TCP). ثم احفظه على الملفات والمقارنة بواسطة أي أداة مقارنات الملفات. يمكنك تجربة هذه (الأكثر شعبية):

• امتحانات الموالية. وبعد حقا تقارن الدلائل حقا.
• WinMerge. وبعد وإن لم يكن بأسرع وقت ممكن للامتحانات، فمن المفتوح، كما يتطور بسرعة. هذا هو خياري الأول.
• testcompare.. وبعد هذه هي أداة مقارنات الملفات الوحيدة التي أعرف أنها تفعل بالضبط ما تبحث عنه، وهذا يقارن ملفات المحاولة في نفس الوقت.

Answer 4

بالنسبة ل http فقط، اعتدت أن استخدم أداة رائعة تسمى EffeTech.
(رغم أن النظر إليه الآن يبدو أنهم يدعمون أكثر من مجرد HTTP ....)

Answer 5

المشكلة هي أن البيانات في طبقة التطبيق ليست قياسية (مع استثناءات قليلة جدا، مثل HTTP و POP3 وهكذا). لا يمكن لأدوات مثل Wireshark فك شفرة هذه المعلومات إذا كانوا لا يعرفون التنسيق.

أعلم أن بعض الإصدارات القديمة من أثيري (Wiresharkark) الآن لديها الخيار (قد تضطر إلى تمكينها) لإظهار الحمولة. نتوقع أنه لا معنى له، ومعظم البروتوكولات في ثنائي!

Answer 6

إذا كان لديك التقاط قد قمت به مع أثيري، فيمكنك قراءة الالتقاط، أو يمكنك القيام باستخدامك مع TCPDump. لالتقاط استخدام أمر tcpdump مثل TCPDump -S 0 -QN -X ، أو tcpdump -x -r filename سوف تقرأ التقاط.

22:08:33.513650 IP 192.168.32.10.40583 > 69.59.196.211.80: tcp 1261
0x0000:  4500 0521 18ec 4000 4006 322a c0a8 200a  E..!..@.@.2*....
0x0010:  453b c4d3 9e87 0050 b0b6 4b4f 1598 0090  E;.....P..KO....
0x0020:  8018 1920 9b4f 0000 0101 080a 002e 701b  .....O........p.
0x0030:  093c bc38 4745 5420 2f75 7365 7273 2f32  .<.8GET./users/2
0x0040:  3032 3637 2f7a 6f72 6564 6163 6865 2048  0267/zoredache.H
0x0050:  5454 502f 312e 300d 0a48 6f73 743a 2073  TTP/1.0..Host:.s
0x0060:  7461 636b 6f76 6572 666c 6f77 2e63 6f6d  tackoverflow.com

أو هناك آخر tcpick. قد يكون هذا ما تريد. يمكنك التقاط حمولة اتصالات TCP، ولديها هيئة عشرية أو حفظها.