Ergebnis 1 bis 4 von 4
  1. #1
    Anfänger
    Registriert seit
    03.12.2017
    Beiträge
    8

    Standard Wireshark Traffic verstehen

    Hallo allerseits,

    ich habe mittels Wireshark den Traffic von/zu einer bestimmten IP protokolliert.

    Hintergrund: ich möchte gerne wissen, wie oft eine bestimmte Anwendung "nach Hause telefoniert" und welche Daten dabei übertragen werden.

    Jetzt habe ich das Problem, dass ich in den protokollierten Daten nichts sinnvolles lesen kann - ich kann mir jedes Paket ansehen, ist aber alles HEX-Code. Teils sind die Pakete auch per SSL verschlüsselt.

    Hat da jemand eine Idee, wie ich die mitgeschnittenen Daten irgendwie inhaltlich analysieren kann?

    Wireshark_IP_50.56.pcapng

    Gruß

  2. #2
    Tron Avatar von gORDon_vdLg
    Registriert seit
    23.07.2007
    Beiträge
    801

    Standard AW: Wireshark Traffic verstehen

    Das ist ein gespeichertes Capture von Wireshark, enthält SSL Traffic bringt also nichts. Das muss erstmal als Klartext mitgeschnitten werden.

  3. #3
    Anfänger
    Registriert seit
    03.12.2017
    Beiträge
    8

    Standard AW: Wireshark Traffic verstehen

    Zitat Zitat von gORDon_vdLg Beitrag anzeigen
    Das ist ein gespeichertes Capture von Wireshark, enthält SSL Traffic bringt also nichts. Das muss erstmal als Klartext mitgeschnitten werden.
    Habe jetzt die DLL, von der das kommt, dekompiliert und direkt im Quellcode eine Routine eingebaut, welche den Traffic im Klartext mitloggt.

    Meine ursprüngliche Idee war, direkt am Betriebssystem anzusetzen, unmittelbar bevor die Verschlüsselung stattfindet. Weiß aber nicht, wie das gehen soll.

  4. #4
    Tron Avatar von gORDon_vdLg
    Registriert seit
    23.07.2007
    Beiträge
    801

    Standard AW: Wireshark Traffic verstehen

    Zitat Zitat von sugar76 Beitrag anzeigen
    Meine ursprüngliche Idee war, direkt am Betriebssystem anzusetzen, unmittelbar bevor die Verschlüsselung stattfindet. Weiß aber nicht, wie das gehen soll.
    Kommt drauf an, wenn das über Windows läuft kannst du die APIs (musst du raussuchen, habe ich gerade nicht im Kopf) hooken. Wenn z.B. OpenSSL verwendet wird kommt es darauf an ob statisch oder dynamisch gelinkt ist, bei ersterem musste halt ein bisschen mehr suchen. Da du aber von dekompilieren sprichst gehe ich mal von .net aus, da wäre "CLR Hosting" ein passender Suchbegriff. Da wärst du in der Lage den .net Krämpel zu hooken, habe ich auch schonmal gemacht (aber für was anderes), funktioniert nach n bisschen gefrickel ganz gut und ist dann natürlich etwas universeller.

Ähnliche Themen

  1. Tor installieren bis IP Check - Kann jeder verstehen
    Von Beaving im Forum Video-Tutorials
    Antworten: 21
    Letzter Beitrag: 13.07.2010, 11:43
  2. [F] Wireshark
    Von Eneth im Forum Wireless-Lan
    Antworten: 13
    Letzter Beitrag: 18.03.2010, 17:33
  3. Sie verstehen es nicht
    Von DARK im Forum Rechtliches
    Antworten: 12
    Letzter Beitrag: 02.04.2009, 12:10

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •