Jump to content
Калькуляторы

WIRESHARK ???

Reply to this topic

vopopaevp   

vopopaevp
Posted

Доброго временu суток =) Подскажuте, пожалуйста

как сделать, чтоб ваершарк понимал кириллицу в перехваченных пакетах?

как сделать, чтоб фильтровал к примеру трафик с определённого айпи+протокол этого айпи, а не всё то, что валится с этого айпи?

Share this post

Link to post
Share on other sites

s.lobanov   

s.lobanov
Posted (edited)

ваершарком пользуюсь только для визуального просмотра, а фильтровать трафик при дампе примерно так:

 

tcpdump -s 0 -i eth0 -w filename "host IP_ADDR and port 80"

 

Если вы хотите превратить дамп во что-то более вменяемое, то потом надо натравить на него "chaosreader -r filename", получите raw-файлы, а их уже откроете в любой кодировке или пропустите через iconv

Edited by s.lobanov

Share this post

Link to post
Share on other sites

vopopaevp   

vopopaevp
Posted

спасuбо, но tcpdump ведь другая прога, а я хочу ваершарком =)

вот вопрос по поводу кuрuллuцы в пакетах как решuть?

к прuмеру, перехватываю пакеты, что аська шлёт. Еслu пuсать в аське на англuйском - то текст вuден в пакетах, а еслu по-русскu - то только точкu вместо сuмволов

 

22:20 vopopaevp

1 ..... .. ..........

2 tekst na angliyskom

 

первый месадж напuсан кuрuллuцей

второй месадж напuсан латuнuцей

Share this post

Link to post
Share on other sites

s.lobanov   

s.lobanov
Posted (edited)

>спасuбо, но tcpdump ведь другая прога, а я хочу ваершарком =)

 

Да на самом деле один и тот же libpcap, ну ладно, есть в ваершарке фильтры во время дампа и есть документация на него.

 

По поводу русских буковок я уже написал - прогоните дамп(не важно чем он сделал - ваершарком или тспдампом) через chaosreader и откройте каким-нибудь редактором с возможностью выбора кодировок

Edited by s.lobanov

Share this post

Link to post
Share on other sites

YuryD   

YuryD
Posted
так что лu ваершарк не понuмает кuрuллuцу?

Какую из кириллиц ? Их много....

Share this post

Link to post
Share on other sites

SokolovS   

SokolovS
Posted

Фильтры там простейшие даже документации не надо, все методом выбора можно сделать.

Share this post

Link to post
Share on other sites

YuryD   

YuryD
Posted

ну русские бакавки. те, что Вы прям сейчас читаете =) только в ICQ

Ну так попробуйте... У меня лично, при декодинге icq получались интересные артефакты, пишут в одной кодировке, получают - в другой :) И вот - они друг-дружку понимают.... В общем - склейте пакеты, затем вывалите в файл и тупо меняя кодировки, попробуйте прочесть диалог :)

Share this post

Link to post
Share on other sites

SokolovS   

SokolovS
Posted
SokolovS

не, ну я понuмаю там краказябры бы былu сuмволы там всякuе черепашьu, а тут просто точкu.

А ты не думал что там может быть и не символы вовсе, наприме если шифрование используется.

Share this post

Link to post
Share on other sites

SokolovS   

SokolovS
Posted
SokolovS

Нет там шифрования, там обычный CP1251(так исторически сложилось среди русскоязычных пользователей icq)

Последнее время это не всегда так, очень часто UTF-8, возможно по этому wireshark не может отобразить т.к. отображает символы только для однобайтных кодировок. Ну и потом см. скрин, SSL никто не отменял и тогда там будет чистый блоб и никаких тебе печатных символов, разве что случайное совпадение ;)

post-44829-1277234660_thumb.png

Share this post

Link to post
Share on other sites

SokolovS   

SokolovS
Posted

Фильтр простой:

(ip.src == x.x.x.x || ip.dst == x.x.x.x) && tcp.port == yyyy

 

x.x.x.x это IP одного из участников обмена

Share this post

Link to post
Share on other sites

vopopaevp   

vopopaevp
Posted

я разобрался, спасибо =)

только вот почему ваершарк перехватывает лишь пакеты которые касаются моего адреса 1.1.1.3?

как сделать чтоб он перехватывал пакеты между адресами 1.1.1.1 и 1.1.1.2, ессли мой адрес 1.1.1.3?

Share this post

Link to post
Share on other sites

vopopaevp   

vopopaevp
Posted (edited)

chert

48портовый каталuст с вэланамu, транкамu u прочuмu вкусностямu заменuть на какой-то хаб образца 85года выпуска? по-моему должен быть какой-то более человеческuй выход uз cuтуацuu.

Edited by vopopaevp

Share this post

Link to post
Share on other sites

SokolovS   

SokolovS
Posted

Ну как бы обмениваетесь вы с сервером, между двумя хостами сообщения напрямую не ходят. А вобще хаб это конечно изврат, есть же зеркалирвоание портов.

Share this post

Link to post
Share on other sites

dsk   

dsk
Posted

Более человеческий способ - не тратить время на попытки чтения чужих асек, а читать документацию, изучать как это все работает и т.п.!

Share this post

Link to post
Share on other sites

micros   

micros
Posted
chert

48портовый каталuст с вэланамu, транкамu u прочuмu вкусностямu заменuть на какой-то хаб образца 85года выпуска? по-моему должен быть какой-то более человеческuй выход uз cuтуацuu.

port mirror (или как оно у циско называется) спасет отца русской демократии :)

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Программное обеспечение, биллинг и *unix системы