Die Entzifferung Encoding: Packet Analysis Tools

StackOverflow https://stackoverflow.com/questions/541517

Frage

Ich suche bessere Werkzeuge als Wireshark für diese. Das Problem mit Wireshark ist, dass es nicht auf die Datenschicht nicht formatiert werden (was der einzige Teil ist bei Suche) sauber für mich die verschiedene Pakete zu vergleichen und versuchen, die Dritten Codierung zu verstehen (die geschlossene Quelle).

Insbesondere was sind einige gute Werkzeuge für die Anzeige von Daten, und nicht die TCP / UDP-Header-Informationen? Insbesondere ist ein Werkzeug, das die Daten für den Vergleich formatiert.

sehr spezifisch . Ich würde ein solches Programm, das mehrere (nicht nur 2) Dateien in hex vergleicht

War es hilfreich?

Lösung

Ihre beste Wette, ehrlich gesagt, ist Ihre eigene Rolle.

Hier finden Sie eine Skriptsprache, die Sie bequem mit und starten Sie hacken auf das Problem weg. Zunächst ein einfaches Multiway Vergleich schreiben, aber sobald Sie finden Muster beginnen, die Sie denken, sind signifikant (oder dass Sie vielleicht denken sein) gehen Sie zurück und fügen Sie sie dem Code - eliminieren sie aus dem Ausgang, markieren Sie sie, übersetzen sie in eine andere Schreibweise, ersetzen sie mit ihren „Sinn“ oder einem hohen Niveau Beschreibung ihrer Rolle - was angemessen erscheint. Wenn Sie sich nicht entscheiden können, macht es eine Option.

Sie sind für Visualisierungs-Software gefragt, weil Sie etwas wollen Sie bilden und internalisieren ein Verständnis ihrer Codierung helfen. Aber die Vergleiche Sie gehen zu sind nur Sie Teil des Prozesses machen werden werden (die im Wesentlichen die wissenschaftliche Methode) - Sie werden auch Vermutungen über sein Formen und Revision, welche verschiedene Teile der Pakete bedeuten, wie sie interagieren etc.

Kein vorgefertigtes Werkzeug wird Ihnen dort helfen, aber eine gute Skriptsprache (sagt Python, Ruby oder sogar Perl) wird eine Menge helfen. Wie Sie eine Theorie bilden, kodieren sie und probieren Sie es aus. Mungle Code um, versuchen Sie verschiedene Ideen, wie sie sie auftreten, eine Tasche von Tricks Aufbau angepasst für dieses Problem, wie Sie gehen.

- MarkusQ

P. S. Geraten Sie nicht in die Falle zu versuchen, diese zu verwenden, C oder Java oder etwas zu tun. Sie werden schnell und locker spielen, und sollte ein Werkzeug, das nicht Variablendeklarationen erfordert, Zusammenstellung, etc. Es wird Gelegenheit genug, es zu straffen und schreiben es , wenn Sie verstehen, wie es funktioniert.

Andere Tipps

Hier finden Sie aktuelle diesem Blog-Eintrag von Breakingpoint Labs . Sie diskutieren manuelles Protokoll Reverse Engineering und eine Reihe von Werkzeugen gebaut auf PacketFu diese Aufgabe machen einfacher.

zu Ihrer Frage ist der Satz von Tools, die es leicht zu identifizieren und markieren Sie Änderungen an Paketen macht. Hier ist ein Beispiel-Screenshot, der die Verwendung von Farbe zeigt, um die Paket Unterschiede zu skizzieren: alt text
(Quelle: breakingpointsystems.com )

Ihr Problem ist nicht auf Netzwerkdaten zu analysieren, aber vergleichen Binär-Dateien, wie Sie von Ihren Bedürfnissen beschreiben.

I würde Anwendungsdaten mittels jedem Sniffer, das heißt mit Hilfe von tcpdump Extrakt verwendet, wie von Zoreadche beschrieben oder Wireshark (das heißt mit Hilfe von Folge TCP-Sitzung). speichern Sie es dann auf Dateien und vergleicht jede Datei comparation Tool. Sie können diese (die beliebtesten) versuchen:

  • ExamDiff Pro . Wirklich schnell zu vergleichen Verzeichnisse.
  • Winmerge . Obwohl nicht so so schnell wie examdiff pro es Open Source ist und es entwickelt sich schnell. Es ist meine erste Wahl.
  • BeyondCompare . Dies ist das einzige Datei comparation Tool, das ich weiß, dass ist genau das, was Sie suchen, dass verglichen wird versuchen, Dateien zur gleichen Zeit.

Für HTTP nur, verwendete ich ein großartiges Werkzeug verwendet genannt EffeTech .
(Obwohl jetzt es zu betrachten scheint es, sie mehr Unterstützung als nur HTTP ....)

Das Problem ist, dass die Daten auf der Anwendungsschicht ist nicht Standard (mit sehr wenigen Ausnahmen, wie HTTP, POP3 und so). Tools wie Wireshark können diese Informationen nicht entschlüsseln, wenn sie das Format nicht kennen.

Ich kenne einige alte Versionen von Ethereal (jetzt Wireshark) hatten die Option (es haben Sie vielleicht zu aktivieren), um die Nutzlast zu zeigen. Erwarten, dass es keinen Sinn machen, sind die meisten Protokolle binär!

Wenn Sie eine Aufnahme haben Sie mit ätherischen getan Sie die Capture lesen konnte, oder Sie können Ihre Aufnahmen mit tcpdump zu tun. zu erfassen Um einen tcpdump Befehl wie tcpdump es 0 -qn -X oder tcpdump -X -r Dateiname liest einen Capture verwenden. 

22:08:33.513650 IP 192.168.32.10.40583 > 69.59.196.211.80: tcp 1261
0x0000:  4500 0521 18ec 4000 4006 322a c0a8 200a  E..!..@.@.2*....
0x0010:  453b c4d3 9e87 0050 b0b6 4b4f 1598 0090  E;.....P..KO....
0x0020:  8018 1920 9b4f 0000 0101 080a 002e 701b  .....O........p.
0x0030:  093c bc38 4745 5420 2f75 7365 7273 2f32  .<.8GET./users/2
0x0040:  3032 3637 2f7a 6f72 6564 6163 6865 2048  0267/zoredache.H
0x0050:  5454 502f 312e 300d 0a48 6f73 743a 2073  TTP/1.0..Host:.s
0x0060:  7461 636b 6f76 6572 666c 6f77 2e63 6f6d  tackoverflow.com

Oder gibt es eine andere tcpick , das sein kann, was Sie wollen. Sie können die Nutzlast von TCP-Verbindungen erfassen, und haben es als Hex angezeigt oder gespeichert werden.

Lizenziert unter: CC-BY-SA mit Zuschreibung
Nicht verbunden mit StackOverflow
scroll top