読エンコード:パケット解析ツール

StackOverflow https://stackoverflow.com/questions/541517

質問

いよいツールによWiresharkます。問題はWiresharkな形式データの層の部分だけを見てい効私にとって比較し、異なるパケットを理解する第三者のエンコード(アルオープンいたしました。

具体的には、いいところを紹介してくださいツールのためのデータの閲覧、TCP/UDPのヘッダ情報?特に、ツール形式のデータと比較しました。

非常に特定の:このクラスは、プログラムが比較されている複数または2)のファイルの六角が付いています。

役に立ちましたか?

解決

あなたの最善の策は、率直に言って、独自のロールすることです。

あなたが快適だと離れた問題で、ハッキングを開始するスクリプト言語を取得します。まず、単純な多方向の比較を書きますが、できるだけ早くあなたが重要である(あるいはあなたがかもしれないと思うことを)考えてパターンを見つけ始めると戻って、コードに追加 - 出力からそれらを排除、それらをハイライトし、それらを翻訳適切と思われるものは何でも - 別の表記に、その「意味」やその役割のいくつかの高レベルの記述に置き換えます。あなたが決めることができない場合は、そのオプション行います。

あなたは自分のエンコーディングの理解を形成し、内部化を支援するために何かをしたいので、

あなたは、可視化ソフトウェアを求めています。あなたはまた、パケットのさまざまな部分が何を意味するかについての推測を形成し、改訂することがあります、彼らはどのように相互作用するか - しかし、あなたが作るしようとしている比較はあなたが(基本的に科学的な方法である)を使用することがありますプロセスの一部にすぎません、など。

いいえ事前に構築されたツールがあなたを助けるために行くされていないが、良いスクリプト言語は、多くのことを助けます(のpython、ルビー、あるいはPerlを言います)。あなたは理論を形成するとして、それをコード化し、それを試してみてください。あなたが一緒に行くように、彼らはあなたに起こるよう、さまざまなアイデアを試して、この問題にカスタマイズされたトリックの袋を構築、周りにあなたのコードをMungleます。

- MarkusQ

P.S。これを行うにはCやJavaか何かを使用しようとしているの罠に陥るしないでください。あなたはそれがどのように動作するかを理解すれば、それを引き締めると、<全角>それを書き換える機会がたくさんあるでしょうなど、迅速かつ緩い演奏することがありますし、変数の宣言を必要としないツールを持っている必要があり、コンパイル。の

他のヒント

でBreakingPoint研究所。彼らは、手動プロトコルのリバースエンジニアリングと、この作業をするために PacketFu の上に構築されたツールのセットを検討していますより簡単ます。

あなたの質問に関連するパケットへの変更を識別し、強調することを容易にするツールのセットです。ここでは、パケットの違いを概説するために、色の使用を示すサンプルのスクリーンショットです: altテキスト
<サブ>(ソース: breakingpointsystems.comする

お悩みではありませんの解析ネットワークデータは比較的バイナリファイルとして記述しておきます。

私の抽出用のデータにより任意のwikipediaにつによるtcpdumpを使用して記述されるZoreadche、Wireshark(によるフォロTCPセッション).使い勝手はそのままにファイルとの比較によるファイルcomparationツールです。試すことができこれらの(人気):

  • Examdiff Pro.本当に速いの比較ディレクトリが入っています。
  • Winmerge.ばないものとexamdiff proでopensourceで進化するのです。では私の最初の選択です。
  • Beyondcompare.このファイルcomparationツールを知っているなど、そのと比較してみファイルも同時に行います。

HTTPの場合のみ、私は Effetechすると呼ばれる素晴らしいツールを使用するために使用。
(それを見ても、今では彼らはHTTPよりも多くをサポートしているようだ....)

問題は、アプリケーション層でデータが(そうHTTP、POP3など非常に少数の例外を除いて、と)標準ではないということです。彼らは形式がわからない場合は、Wiresharkのようなツールは、この情報をデコードすることはできません。

私はEtherealの(今のWireshark)の一部の古いバージョンでは、ペイロードを表示するには(あなたがそれを有効にする必要がある場合があります)オプションを持っていた知っています。それは意味を成さないことを期待し、ほとんどのプロトコルはバイナリである!

場合キャプチャをおこなっていますとコンピュータで読みこなすには、なにができる自撮tcpdump.捕獲用tcpdumpコマンドライン tcpdump-s0-qn-Xtcpdump-X-rファイル名 を読み込みを行う。

22:08:33.513650 IP 192.168.32.10.40583 > 69.59.196.211.80: tcp 1261
0x0000:  4500 0521 18ec 4000 4006 322a c0a8 200a  E..!..@.@.2*....
0x0010:  453b c4d3 9e87 0050 b0b6 4b4f 1598 0090  E;.....P..KO....
0x0020:  8018 1920 9b4f 0000 0101 080a 002e 701b  .....O........p.
0x0030:  093c bc38 4745 5420 2f75 7365 7273 2f32  .<.8GET./users/2
0x0040:  3032 3637 2f7a 6f72 6564 6163 6865 2048  0267/zoredache.H
0x0050:  5454 502f 312e 300d 0a48 6f73 743a 2073  TTP/1.0..Host:.s
0x0060:  7461 636b 6f76 6572 666c 6f77 2e63 6f6d  tackoverflow.com

または別の tcpick できると考えている。りと捉えることができ、ペイロードのtcp接続して表示されていることを示すとしての六角レンチまたは保存されます。

ライセンス: CC-BY-SA帰属
所属していません StackOverflow
scroll top