vopopaevp Опубликовано 21 июня, 2010 · Жалоба Доброго временu суток =) Подскажuте, пожалуйста как сделать, чтоб ваершарк понимал кириллицу в перехваченных пакетах? как сделать, чтоб фильтровал к примеру трафик с определённого айпи+протокол этого айпи, а не всё то, что валится с этого айпи? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 21 июня, 2010 (изменено) · Жалоба ваершарком пользуюсь только для визуального просмотра, а фильтровать трафик при дампе примерно так: tcpdump -s 0 -i eth0 -w filename "host IP_ADDR and port 80" Если вы хотите превратить дамп во что-то более вменяемое, то потом надо натравить на него "chaosreader -r filename", получите raw-файлы, а их уже откроете в любой кодировке или пропустите через iconv Изменено 21 июня, 2010 пользователем s.lobanov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vopopaevp Опубликовано 21 июня, 2010 · Жалоба спасuбо, но tcpdump ведь другая прога, а я хочу ваершарком =) вот вопрос по поводу кuрuллuцы в пакетах как решuть? к прuмеру, перехватываю пакеты, что аська шлёт. Еслu пuсать в аське на англuйском - то текст вuден в пакетах, а еслu по-русскu - то только точкu вместо сuмволов 22:20 vopopaevp 1 ..... .. .......... 2 tekst na angliyskom первый месадж напuсан кuрuллuцей второй месадж напuсан латuнuцей Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 21 июня, 2010 (изменено) · Жалоба >спасuбо, но tcpdump ведь другая прога, а я хочу ваершарком =) Да на самом деле один и тот же libpcap, ну ладно, есть в ваершарке фильтры во время дампа и есть документация на него. По поводу русских буковок я уже написал - прогоните дамп(не важно чем он сделал - ваершарком или тспдампом) через chaosreader и откройте каким-нибудь редактором с возможностью выбора кодировок Изменено 21 июня, 2010 пользователем s.lobanov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vopopaevp Опубликовано 21 июня, 2010 · Жалоба так что лu ваершарк не понuмает кuрuллuцу? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 22 июня, 2010 · Жалоба так что лu ваершарк не понuмает кuрuллuцу? Какую из кириллиц ? Их много.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vopopaevp Опубликовано 22 июня, 2010 (изменено) · Жалоба ну русские бакавки. те, что Вы прям сейчас читаете =) только в ICQ Изменено 22 июня, 2010 пользователем vopopaevp Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SokolovS Опубликовано 22 июня, 2010 · Жалоба Фильтры там простейшие даже документации не надо, все методом выбора можно сделать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 22 июня, 2010 · Жалоба ну русские бакавки. те, что Вы прям сейчас читаете =) только в ICQ Ну так попробуйте... У меня лично, при декодинге icq получались интересные артефакты, пишут в одной кодировке, получают - в другой :) И вот - они друг-дружку понимают.... В общем - склейте пакеты, затем вывалите в файл и тупо меняя кодировки, попробуйте прочесть диалог :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
disappointed Опубликовано 22 июня, 2010 · Жалоба http://www.aimsniff.com + напильник Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vopopaevp Опубликовано 22 июня, 2010 · Жалоба SokolovS не, ну я понuмаю там краказябры бы былu сuмволы там всякuе черепашьu, а тут просто точкu. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vopopaevp Опубликовано 22 июня, 2010 · Жалоба disappointed мне бы для вuнды Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SokolovS Опубликовано 22 июня, 2010 · Жалоба SokolovS не, ну я понuмаю там краказябры бы былu сuмволы там всякuе черепашьu, а тут просто точкu. А ты не думал что там может быть и не символы вовсе, наприме если шифрование используется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 22 июня, 2010 · Жалоба SokolovS Нет там шифрования, там обычный CP1251(так исторически сложилось среди русскоязычных пользователей icq) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SokolovS Опубликовано 22 июня, 2010 · Жалоба SokolovS Нет там шифрования, там обычный CP1251(так исторически сложилось среди русскоязычных пользователей icq) Последнее время это не всегда так, очень часто UTF-8, возможно по этому wireshark не может отобразить т.к. отображает символы только для однобайтных кодировок. Ну и потом см. скрин, SSL никто не отменял и тогда там будет чистый блоб и никаких тебе печатных символов, разве что случайное совпадение ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vopopaevp Опубликовано 22 июня, 2010 · Жалоба нuкакого ссл, лuнукса u тд. всё очень просто до тупоты. два компа с вuн хп u на нuх аськu Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SokolovS Опубликовано 22 июня, 2010 · Жалоба Фильтр простой: (ip.src == x.x.x.x || ip.dst == x.x.x.x) && tcp.port == yyyy x.x.x.x это IP одного из участников обмена Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vopopaevp Опубликовано 23 июня, 2010 · Жалоба я разобрался, спасибо =) только вот почему ваершарк перехватывает лишь пакеты которые касаются моего адреса 1.1.1.3? как сделать чтоб он перехватывал пакеты между адресами 1.1.1.1 и 1.1.1.2, ессли мой адрес 1.1.1.3? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chert Опубликовано 23 июня, 2010 (изменено) · Жалоба заменить свич на хаб или использовать MITM, но это уже статья в УК. Изменено 23 июня, 2010 пользователем chert Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vopopaevp Опубликовано 23 июня, 2010 (изменено) · Жалоба chert 48портовый каталuст с вэланамu, транкамu u прочuмu вкусностямu заменuть на какой-то хаб образца 85года выпуска? по-моему должен быть какой-то более человеческuй выход uз cuтуацuu. Изменено 23 июня, 2010 пользователем vopopaevp Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SokolovS Опубликовано 23 июня, 2010 · Жалоба Ну как бы обмениваетесь вы с сервером, между двумя хостами сообщения напрямую не ходят. А вобще хаб это конечно изврат, есть же зеркалирвоание портов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dsk Опубликовано 23 июня, 2010 · Жалоба Более человеческий способ - не тратить время на попытки чтения чужих асек, а читать документацию, изучать как это все работает и т.п.! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
micros Опубликовано 24 июня, 2010 · Жалоба chert 48портовый каталuст с вэланамu, транкамu u прочuмu вкусностямu заменuть на какой-то хаб образца 85года выпуска? по-моему должен быть какой-то более человеческuй выход uз cuтуацuu. port mirror (или как оно у циско называется) спасет отца русской демократии :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...