Ergebnis 1 bis 5 von 5
  1. 30.05.2009, 16:51 #1
    zille
    zille ist offline
    Fortgeschrittener
    Registriert seit
    11.12.2007
    Beiträge
    47

    Standard Frage zu TCP segment of a reassembled PDU

    Moin Leude,

    also es geht um folgendes, habe mit Wireshark ein wenig das sniffen probiert und meistens auch erfolgreich, doch dann tauchte plötzlich etwas neues auf. und zwar: [TCP segment of a reassembled PDU], und snmp
    zwischen dem noch sowas: /240/345/126/456/ u.s.w. (frei erfundene zahlen)

    hab ne weile gegoogelt und herrausgefunden das es sich um fragmentierte pakete handelt. Die dann wieder auf höhere ebene zusammengesetzt werden.

    Meine frage ist: Wie kann ich selbst die gesniften pakete wieder zusammen setzen und z.b. die login daten die genau da enthalten sind auslesen?

    in einem englisch forum hab ich irgendwas gelesen das man bei den einstellungen bei tcp oder snmp das reassemblen austellen kann aber das hat auch nix gebracht.

    das wars eigentlich auch schon.

    Gruß Zille
    Wer auf einem Glassklo sitzt, sollte keine Steine essen...:-)

    "Leutz nicht Faul sein / SuFu & Google / nutzen"
    Zitieren Zitieren
  2. 30.05.2009, 17:03 #2
    gf0x
    gf0x ist offline
    Gesperrt
    Registriert seit
    13.03.2009
    Beiträge
    1.041

    Standard

    Normalerweise kann man mittels Wireshark per Option "Follow TCP Stream" die Pakete der Reihe nach anlegen und evtl. so an die Daten dran kommen.
    Zitieren Zitieren
  3. 30.05.2009, 17:07 #3
    zille
    zille ist offline
    Fortgeschrittener
    Registriert seit
    11.12.2007
    Beiträge
    47

    Standard

    Hab ich gemacht gehabt kam aber nur quark bei raus, leider hab ich die datei, und den sniff nicht mehr sonst hätt ich den gepostet. ok nur quark kam nich raus aber das was ich suchte wo ich sicher bin das es da drinn ist hab ich nicht gefunden. ok einige leute verschlüsseln auch z.b. die login daten in ihren stealern aber meist ja nur mit base64 und das sieht man ja leicht. Vielleicht das das nochmal ganz anders verschlüsselt gewesen hab davon nicht so viel ahnung.
    Wer auf einem Glassklo sitzt, sollte keine Steine essen...:-)

    "Leutz nicht Faul sein / SuFu & Google / nutzen"
    Zitieren Zitieren
  4. 30.05.2009, 17:16 #4
    gf0x
    gf0x ist offline
    Gesperrt
    Registriert seit
    13.03.2009
    Beiträge
    1.041

    Standard

    Ich tippe dann auch darauf dass der Stealer bzw der TCP Stream verschlüsselt wurde.
    In dem Fall kann ich dir dann nur noch den "File Analyzer" empfehlen.
    Zitieren Zitieren
  5. 30.05.2009, 17:45 #5
    zille
    zille ist offline
    Fortgeschrittener
    Registriert seit
    11.12.2007
    Beiträge
    47

    Standard

    jo den benutz ich stets, erst mitn file analyzer und wenn ich nichts gescheites finde versuchs ich über wireshark^^ allerdings hab ich bestimmt nicht alle möglichkeiten mitn file analyzer ausgeschöpft bin da noch etwas neu drinn. Wie gesagt das ist bis jetzt das einzigste mal gewesen das ich 0 herrausgefunden habe und das stört mich etwas^^ aber nungut ist ja nicht weiter wild. wollt eigentlich nur wissen wie man die Reassembled Pdu´s wieder zusammensetzen und lesbar machen kann, wenn das so ist einfach mait tcp folgen dann ist meine frage ja geklärt.

    Gruß Zille
    Wer auf einem Glassklo sitzt, sollte keine Steine essen...:-)

    "Leutz nicht Faul sein / SuFu & Google / nutzen"
    Zitieren Zitieren
« Vorheriges Thema | Nächstes Thema »

Stichworte

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  

Foren-Regeln