[LugBS] Guru di wireshark, venite a me!
Rampage
atomikramp a email.it
Lun 7 Giu 2010 00:07:59 UTC
Ciao a tuttir agazzi, avrei una domanda da porvi,
tutti quanti sappiamo quanto è figo wireshark per analizzare il traffico
di rete
Se io devo ricostruire del traffico di rete, per esempio http, FTP, o
comunque di protocolli noti e in chiaro, wireshark mi permette di
estrarre con facilità tutta la porzione di dato e quindi di ricostruire
anche pagine web, file zip, filmati, immagini, eseguibili e quant'altro.
MA c'è un problema:
Il problema sorge quando il protocollo non è noto, o il traffico è raw.
nel mio caso specifico devo ricostruire un dato, analizzandone alcune
porzioni si direbbe un eseguibile windows, che è transitato tramite una
sessione netcat.
Esiste un modo per scriptare/filtrare/automatizzare un'attività di
estrazione della porzione "data" di ogni pacchetto di uno stream?
per esempio, se il traffico è di tipo netcat, mi viene in mente di
- isolare lo stream
- rimuovere i messaggi inviati dal ricevente verso il mittente
- eliminare i messaggi di lunghezza nulla
- a questo punto estrarre e ricomporre i vari pezzetti di dato estratti
dai pacchetti rimanenti.
pensate che sia una cosa che si può fare?
o esiste un sistema più smart?
io ho già provato con dei carver come tcpxtract, Xplico, network miner
et similia, ma non c'è stato verso proprio perchè di fatto non c'è un
protocollo, ma solo dei dati grezzi che viaggiano tra due peer.
Spero qualcuno mi possa dare una mano.
a presto
Francesco
Maggiori informazioni sulla lista
Lug
|