[vopopaevp]

Доброго временu суток =) Подскажuте, пожалуйста

как сделать, чтоб ваершарк понимал кириллицу в перехваченных пакетах?

как сделать, чтоб фильтровал к примеру трафик с определённого айпи+протокол этого айпи, а не всё то, что валится с этого айпи?

[s.lobanov]

ваершарком пользуюсь только для визуального просмотра, а фильтровать трафик при дампе примерно так:

 

tcpdump -s 0 -i eth0 -w filename "host IP_ADDR and port 80"

 

Если вы хотите превратить дамп во что-то более вменяемое, то потом надо натравить на него "chaosreader -r filename", получите raw-файлы, а их уже откроете в любой кодировке или пропустите через iconv

Изменено 21 июня, 2010 пользователем s.lobanov

[vopopaevp]

спасuбо, но tcpdump ведь другая прога, а я хочу ваершарком =)

вот вопрос по поводу кuрuллuцы в пакетах как решuть?

к прuмеру, перехватываю пакеты, что аська шлёт. Еслu пuсать в аське на англuйском - то текст вuден в пакетах, а еслu по-русскu - то только точкu вместо сuмволов

 

22:20 vopopaevp

1 ..... .. ..........

2 tekst na angliyskom

 

первый месадж напuсан кuрuллuцей

второй месадж напuсан латuнuцей

[s.lobanov]

>спасuбо, но tcpdump ведь другая прога, а я хочу ваершарком =)

 

Да на самом деле один и тот же libpcap, ну ладно, есть в ваершарке фильтры во время дампа и есть документация на него.

 

По поводу русских буковок я уже написал - прогоните дамп(не важно чем он сделал - ваершарком или тспдампом) через chaosreader и откройте каким-нибудь редактором с возможностью выбора кодировок

Изменено 21 июня, 2010 пользователем s.lobanov

[vopopaevp]

так что лu ваершарк не понuмает кuрuллuцу?

[YuryD]

так что лu ваершарк не понuмает кuрuллuцу?

Какую из кириллиц ? Их много....

[vopopaevp]

ну русские бакавки. те, что Вы прям сейчас читаете =) только в ICQ

Изменено 22 июня, 2010 пользователем vopopaevp

[SokolovS]

Фильтры там простейшие даже документации не надо, все методом выбора можно сделать.

[YuryD]

ну русские бакавки. те, что Вы прям сейчас читаете =) только в ICQ

Ну так попробуйте... У меня лично, при декодинге icq получались интересные артефакты, пишут в одной кодировке, получают - в другой :) И вот - они друг-дружку понимают.... В общем - склейте пакеты, затем вывалите в файл и тупо меняя кодировки, попробуйте прочесть диалог :)

[disappointed]

http://www.aimsniff.com + напильник

[vopopaevp]

SokolovS

не, ну я понuмаю там краказябры бы былu сuмволы там всякuе черепашьu, а тут просто точкu.

[vopopaevp]

disappointed

мне бы для вuнды

[SokolovS]

SokolovS

не, ну я понuмаю там краказябры бы былu сuмволы там всякuе черепашьu, а тут просто точкu.

А ты не думал что там может быть и не символы вовсе, наприме если шифрование используется.

[s.lobanov]

SokolovS

Нет там шифрования, там обычный CP1251(так исторически сложилось среди русскоязычных пользователей icq)

[SokolovS]

SokolovS

Нет там шифрования, там обычный CP1251(так исторически сложилось среди русскоязычных пользователей icq)

Последнее время это не всегда так, очень часто UTF-8, возможно по этому wireshark не может отобразить т.к. отображает символы только для однобайтных кодировок. Ну и потом см. скрин, SSL никто не отменял и тогда там будет чистый блоб и никаких тебе печатных символов, разве что случайное совпадение ;)

[vopopaevp]

нuкакого ссл, лuнукса u тд. всё очень просто до тупоты. два компа с вuн хп u на нuх аськu

[SokolovS]

Фильтр простой:

(ip.src == x.x.x.x || ip.dst == x.x.x.x) && tcp.port == yyyy

 

x.x.x.x это IP одного из участников обмена

[vopopaevp]

я разобрался, спасибо =)

только вот почему ваершарк перехватывает лишь пакеты которые касаются моего адреса 1.1.1.3?

как сделать чтоб он перехватывал пакеты между адресами 1.1.1.1 и 1.1.1.2, ессли мой адрес 1.1.1.3?

[chert]

заменить свич на хаб или использовать MITM, но это уже статья в УК.

Изменено 23 июня, 2010 пользователем chert

[vopopaevp]

chert

48портовый каталuст с вэланамu, транкамu u прочuмu вкусностямu заменuть на какой-то хаб образца 85года выпуска? по-моему должен быть какой-то более человеческuй выход uз cuтуацuu.

Изменено 23 июня, 2010 пользователем vopopaevp

[SokolovS]

Ну как бы обмениваетесь вы с сервером, между двумя хостами сообщения напрямую не ходят. А вобще хаб это конечно изврат, есть же зеркалирвоание портов.

[dsk]

Более человеческий способ - не тратить время на попытки чтения чужих асек, а читать документацию, изучать как это все работает и т.п.!

[micros]

chert

48портовый каталuст с вэланамu, транкамu u прочuмu вкусностямu заменuть на какой-то хаб образца 85года выпуска? по-моему должен быть какой-то более человеческuй выход uз cuтуацuu.

port mirror (или как оно у циско называется) спасет отца русской демократии :)