vopopaevp Posted June 21, 2010 Posted June 21, 2010 Доброго временu суток =) Подскажuте, пожалуйста как сделать, чтоб ваершарк понимал кириллицу в перехваченных пакетах? как сделать, чтоб фильтровал к примеру трафик с определённого айпи+протокол этого айпи, а не всё то, что валится с этого айпи? Вставить ник Quote
s.lobanov Posted June 21, 2010 Posted June 21, 2010 (edited) ваершарком пользуюсь только для визуального просмотра, а фильтровать трафик при дампе примерно так: tcpdump -s 0 -i eth0 -w filename "host IP_ADDR and port 80" Если вы хотите превратить дамп во что-то более вменяемое, то потом надо натравить на него "chaosreader -r filename", получите raw-файлы, а их уже откроете в любой кодировке или пропустите через iconv Edited June 21, 2010 by s.lobanov Вставить ник Quote
vopopaevp Posted June 21, 2010 Author Posted June 21, 2010 спасuбо, но tcpdump ведь другая прога, а я хочу ваершарком =) вот вопрос по поводу кuрuллuцы в пакетах как решuть? к прuмеру, перехватываю пакеты, что аська шлёт. Еслu пuсать в аське на англuйском - то текст вuден в пакетах, а еслu по-русскu - то только точкu вместо сuмволов 22:20 vopopaevp 1 ..... .. .......... 2 tekst na angliyskom первый месадж напuсан кuрuллuцей второй месадж напuсан латuнuцей Вставить ник Quote
s.lobanov Posted June 21, 2010 Posted June 21, 2010 (edited) >спасuбо, но tcpdump ведь другая прога, а я хочу ваершарком =) Да на самом деле один и тот же libpcap, ну ладно, есть в ваершарке фильтры во время дампа и есть документация на него. По поводу русских буковок я уже написал - прогоните дамп(не важно чем он сделал - ваершарком или тспдампом) через chaosreader и откройте каким-нибудь редактором с возможностью выбора кодировок Edited June 21, 2010 by s.lobanov Вставить ник Quote
vopopaevp Posted June 21, 2010 Author Posted June 21, 2010 так что лu ваершарк не понuмает кuрuллuцу? Вставить ник Quote
YuryD Posted June 22, 2010 Posted June 22, 2010 так что лu ваершарк не понuмает кuрuллuцу? Какую из кириллиц ? Их много.... Вставить ник Quote
vopopaevp Posted June 22, 2010 Author Posted June 22, 2010 (edited) ну русские бакавки. те, что Вы прям сейчас читаете =) только в ICQ Edited June 22, 2010 by vopopaevp Вставить ник Quote
SokolovS Posted June 22, 2010 Posted June 22, 2010 Фильтры там простейшие даже документации не надо, все методом выбора можно сделать. Вставить ник Quote
YuryD Posted June 22, 2010 Posted June 22, 2010 ну русские бакавки. те, что Вы прям сейчас читаете =) только в ICQ Ну так попробуйте... У меня лично, при декодинге icq получались интересные артефакты, пишут в одной кодировке, получают - в другой :) И вот - они друг-дружку понимают.... В общем - склейте пакеты, затем вывалите в файл и тупо меняя кодировки, попробуйте прочесть диалог :) Вставить ник Quote
disappointed Posted June 22, 2010 Posted June 22, 2010 http://www.aimsniff.com + напильник Вставить ник Quote
vopopaevp Posted June 22, 2010 Author Posted June 22, 2010 SokolovS не, ну я понuмаю там краказябры бы былu сuмволы там всякuе черепашьu, а тут просто точкu. Вставить ник Quote
vopopaevp Posted June 22, 2010 Author Posted June 22, 2010 disappointed мне бы для вuнды Вставить ник Quote
SokolovS Posted June 22, 2010 Posted June 22, 2010 SokolovS не, ну я понuмаю там краказябры бы былu сuмволы там всякuе черепашьu, а тут просто точкu. А ты не думал что там может быть и не символы вовсе, наприме если шифрование используется. Вставить ник Quote
s.lobanov Posted June 22, 2010 Posted June 22, 2010 SokolovS Нет там шифрования, там обычный CP1251(так исторически сложилось среди русскоязычных пользователей icq) Вставить ник Quote
SokolovS Posted June 22, 2010 Posted June 22, 2010 SokolovS Нет там шифрования, там обычный CP1251(так исторически сложилось среди русскоязычных пользователей icq) Последнее время это не всегда так, очень часто UTF-8, возможно по этому wireshark не может отобразить т.к. отображает символы только для однобайтных кодировок. Ну и потом см. скрин, SSL никто не отменял и тогда там будет чистый блоб и никаких тебе печатных символов, разве что случайное совпадение ;) Вставить ник Quote
vopopaevp Posted June 22, 2010 Author Posted June 22, 2010 нuкакого ссл, лuнукса u тд. всё очень просто до тупоты. два компа с вuн хп u на нuх аськu Вставить ник Quote
SokolovS Posted June 22, 2010 Posted June 22, 2010 Фильтр простой: (ip.src == x.x.x.x || ip.dst == x.x.x.x) && tcp.port == yyyy x.x.x.x это IP одного из участников обмена Вставить ник Quote
vopopaevp Posted June 23, 2010 Author Posted June 23, 2010 я разобрался, спасибо =) только вот почему ваершарк перехватывает лишь пакеты которые касаются моего адреса 1.1.1.3? как сделать чтоб он перехватывал пакеты между адресами 1.1.1.1 и 1.1.1.2, ессли мой адрес 1.1.1.3? Вставить ник Quote
chert Posted June 23, 2010 Posted June 23, 2010 (edited) заменить свич на хаб или использовать MITM, но это уже статья в УК. Edited June 23, 2010 by chert Вставить ник Quote
vopopaevp Posted June 23, 2010 Author Posted June 23, 2010 (edited) chert 48портовый каталuст с вэланамu, транкамu u прочuмu вкусностямu заменuть на какой-то хаб образца 85года выпуска? по-моему должен быть какой-то более человеческuй выход uз cuтуацuu. Edited June 23, 2010 by vopopaevp Вставить ник Quote
SokolovS Posted June 23, 2010 Posted June 23, 2010 Ну как бы обмениваетесь вы с сервером, между двумя хостами сообщения напрямую не ходят. А вобще хаб это конечно изврат, есть же зеркалирвоание портов. Вставить ник Quote
dsk Posted June 23, 2010 Posted June 23, 2010 Более человеческий способ - не тратить время на попытки чтения чужих асек, а читать документацию, изучать как это все работает и т.п.! Вставить ник Quote
micros Posted June 24, 2010 Posted June 24, 2010 chert 48портовый каталuст с вэланамu, транкамu u прочuмu вкусностямu заменuть на какой-то хаб образца 85года выпуска? по-моему должен быть какой-то более человеческuй выход uз cuтуацuu. port mirror (или как оно у циско называется) спасет отца русской демократии :) Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.