Jump to content
Калькуляторы

WIRESHARK ???

Доброго временu суток =) Подскажuте, пожалуйста

как сделать, чтоб ваершарк понимал кириллицу в перехваченных пакетах?

как сделать, чтоб фильтровал к примеру трафик с определённого айпи+протокол этого айпи, а не всё то, что валится с этого айпи?

Share this post


Link to post
Share on other sites

ваершарком пользуюсь только для визуального просмотра, а фильтровать трафик при дампе примерно так:

 

tcpdump -s 0 -i eth0 -w filename "host IP_ADDR and port 80"

 

Если вы хотите превратить дамп во что-то более вменяемое, то потом надо натравить на него "chaosreader -r filename", получите raw-файлы, а их уже откроете в любой кодировке или пропустите через iconv

Edited by s.lobanov

Share this post


Link to post
Share on other sites

спасuбо, но tcpdump ведь другая прога, а я хочу ваершарком =)

вот вопрос по поводу кuрuллuцы в пакетах как решuть?

к прuмеру, перехватываю пакеты, что аська шлёт. Еслu пuсать в аське на англuйском - то текст вuден в пакетах, а еслu по-русскu - то только точкu вместо сuмволов

 

22:20 vopopaevp

1 ..... .. ..........

2 tekst na angliyskom

 

первый месадж напuсан кuрuллuцей

второй месадж напuсан латuнuцей

Share this post


Link to post
Share on other sites

>спасuбо, но tcpdump ведь другая прога, а я хочу ваершарком =)

 

Да на самом деле один и тот же libpcap, ну ладно, есть в ваершарке фильтры во время дампа и есть документация на него.

 

По поводу русских буковок я уже написал - прогоните дамп(не важно чем он сделал - ваершарком или тспдампом) через chaosreader и откройте каким-нибудь редактором с возможностью выбора кодировок

Edited by s.lobanov

Share this post


Link to post
Share on other sites
так что лu ваершарк не понuмает кuрuллuцу?

Какую из кириллиц ? Их много....

Share this post


Link to post
Share on other sites

ну русские бакавки. те, что Вы прям сейчас читаете =) только в ICQ

Edited by vopopaevp

Share this post


Link to post
Share on other sites

Фильтры там простейшие даже документации не надо, все методом выбора можно сделать.

Share this post


Link to post
Share on other sites

ну русские бакавки. те, что Вы прям сейчас читаете =) только в ICQ

Ну так попробуйте... У меня лично, при декодинге icq получались интересные артефакты, пишут в одной кодировке, получают - в другой :) И вот - они друг-дружку понимают.... В общем - склейте пакеты, затем вывалите в файл и тупо меняя кодировки, попробуйте прочесть диалог :)

Share this post


Link to post
Share on other sites

SokolovS

не, ну я понuмаю там краказябры бы былu сuмволы там всякuе черепашьu, а тут просто точкu.

Share this post


Link to post
Share on other sites
SokolovS

не, ну я понuмаю там краказябры бы былu сuмволы там всякuе черепашьu, а тут просто точкu.

А ты не думал что там может быть и не символы вовсе, наприме если шифрование используется.

Share this post


Link to post
Share on other sites

SokolovS

Нет там шифрования, там обычный CP1251(так исторически сложилось среди русскоязычных пользователей icq)

Share this post


Link to post
Share on other sites
SokolovS

Нет там шифрования, там обычный CP1251(так исторически сложилось среди русскоязычных пользователей icq)

Последнее время это не всегда так, очень часто UTF-8, возможно по этому wireshark не может отобразить т.к. отображает символы только для однобайтных кодировок. Ну и потом см. скрин, SSL никто не отменял и тогда там будет чистый блоб и никаких тебе печатных символов, разве что случайное совпадение ;)

post-44829-1277234660_thumb.png

Share this post


Link to post
Share on other sites

нuкакого ссл, лuнукса u тд. всё очень просто до тупоты. два компа с вuн хп u на нuх аськu

Share this post


Link to post
Share on other sites

Фильтр простой:

(ip.src == x.x.x.x || ip.dst == x.x.x.x) && tcp.port == yyyy

 

x.x.x.x это IP одного из участников обмена

Share this post


Link to post
Share on other sites

я разобрался, спасибо =)

только вот почему ваершарк перехватывает лишь пакеты которые касаются моего адреса 1.1.1.3?

как сделать чтоб он перехватывал пакеты между адресами 1.1.1.1 и 1.1.1.2, ессли мой адрес 1.1.1.3?

Share this post


Link to post
Share on other sites

заменить свич на хаб или использовать MITM, но это уже статья в УК.

Edited by chert

Share this post


Link to post
Share on other sites

chert

48портовый каталuст с вэланамu, транкамu u прочuмu вкусностямu заменuть на какой-то хаб образца 85года выпуска? по-моему должен быть какой-то более человеческuй выход uз cuтуацuu.

Edited by vopopaevp

Share this post


Link to post
Share on other sites

Ну как бы обмениваетесь вы с сервером, между двумя хостами сообщения напрямую не ходят. А вобще хаб это конечно изврат, есть же зеркалирвоание портов.

Share this post


Link to post
Share on other sites

Более человеческий способ - не тратить время на попытки чтения чужих асек, а читать документацию, изучать как это все работает и т.п.!

Share this post


Link to post
Share on other sites
chert

48портовый каталuст с вэланамu, транкамu u прочuмu вкусностямu заменuть на какой-то хаб образца 85года выпуска? по-моему должен быть какой-то более человеческuй выход uз cuтуацuu.

port mirror (или как оно у циско называется) спасет отца русской демократии :)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this