Ich analysiere eine Erfassung von verschlüsseltem Datenverkehr mit Wireshark. Ich habe den Datenverkehr mit der richtigen Passphrase in Wireshark entschlüsselt und kann die entschlüsselten Daten jedes Frames anzeigen.
Der Punkt ist, dass ich ein Paket mit einer bestimmten Zeichenfolge nicht finden kann, wenn ich es suche. Obwohl ich die Gewissheit habe, dass die Zeichenfolge entschlüsselt ist, kann ich solche Daten in den entschlüsselten Daten eines Frames sehen.
Ich habe bereits versucht, mit der Zeichenfolgeoption in Paketbytes / Liste / Details zu suchen, und ich habe auch erfolglos nach Hexwert gesucht.
Eine Problemumgehung, die mir in den Sinn kam und darin besteht, den Datenverkehr mit tshark zu entschlüsseln und einen Hexdump in eine Textdatei zu erstellen. Verwenden Sie danach grep, um die Zeichenfolge zu finden. Dies ist jedoch kein guter Ansatz.
Wie würden Sie einen String mit Wireshark bei einer entschlüsselten Verkehrserfassung finden?
Antworten:
Die Suchfunktion funktioniert nur bei sezierten Feldern, und die entschlüsselten Daten enthalten keine sezierten Felder, wenn sie nicht zur Interpretation an einen Sezierer übergeben werden. Sie können also entweder einen Dissektor für die entschlüsselten Daten schreiben oder Sie sollten zumindest in der Lage sein, einen Anzeigefilter zu verwenden,
data contains "some string"
um die Pakete zu finden, die Ihre interessierende Zeichenfolge enthalten.quelle