PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Frage zu TCP segment of a reassembled PDU


zille
30.05.2009, 16:51
Moin Leude,

also es geht um folgendes, habe mit Wireshark ein wenig das sniffen probiert und meistens auch erfolgreich, doch dann tauchte plötzlich etwas neues auf. und zwar: [TCP segment of a reassembled PDU], und snmp
zwischen dem noch sowas: /240/345/126/456/ u.s.w. (frei erfundene zahlen)

hab ne weile gegoogelt und herrausgefunden das es sich um fragmentierte pakete handelt. Die dann wieder auf höhere ebene zusammengesetzt werden.

Meine frage ist: Wie kann ich selbst die gesniften pakete wieder zusammen setzen und z.b. die login daten die genau da enthalten sind auslesen?

in einem englisch forum hab ich irgendwas gelesen das man bei den einstellungen bei tcp oder snmp das reassemblen austellen kann aber das hat auch nix gebracht.

das wars eigentlich auch schon.

Gruß Zille
gf0x
30.05.2009, 17:03
Normalerweise kann man mittels Wireshark per Option "Follow TCP Stream" die Pakete der Reihe nach anlegen und evtl. so an die Daten dran kommen.
zille
30.05.2009, 17:07
Hab ich gemacht gehabt kam aber nur quark bei raus, leider hab ich die datei, und den sniff nicht mehr sonst hätt ich den gepostet. ok nur quark kam nich raus aber das was ich suchte wo ich sicher bin das es da drinn ist hab ich nicht gefunden. ok einige leute verschlüsseln auch z.b. die login daten in ihren stealern aber meist ja nur mit base64 und das sieht man ja leicht. Vielleicht das das nochmal ganz anders verschlüsselt gewesen hab davon nicht so viel ahnung.
gf0x
30.05.2009, 17:16
Ich tippe dann auch darauf dass der Stealer bzw der TCP Stream verschlüsselt wurde.
In dem Fall kann ich dir dann nur noch den "File Analyzer" empfehlen.
zille
30.05.2009, 17:45
jo den benutz ich stets, erst mitn file analyzer und wenn ich nichts gescheites finde versuchs ich über wireshark^^ allerdings hab ich bestimmt nicht alle möglichkeiten mitn file analyzer ausgeschöpft bin da noch etwas neu drinn. Wie gesagt das ist bis jetzt das einzigste mal gewesen das ich 0 herrausgefunden habe und das stört mich etwas^^ aber nungut ist ja nicht weiter wild. wollt eigentlich nur wissen wie man die Reassembled Pdu´s wieder zusammensetzen und lesbar machen kann, wenn das so ist einfach mait tcp folgen dann ist meine frage ja geklärt.

Gruß Zille