Die Suchfunktion funktioniert nur bei zerlegten Feldern, und die entschlüsselten Daten werden, wenn sie nicht zur Interpretation an einen Disektor übergeben werden, keine zerlegten Felder enthalten. Sie können also entweder einen Dissektor für die entschlüsselten Daten schreiben oder Sie sollten zumindest einen Anzeigefilter verwenden können data contains "some string", um beispielsweise die Pakete zu finden, die Ihre interessierende Zeichenfolge enthalten.
Finden Sie ein String-Paket in entschlüsselten Daten mit Wireshark / Tshark
561
crato
Ich analysiere eine Erfassung des verschlüsselten Datenverkehrs mit Wireshark. Ich habe den Datenverkehr mit der richtigen Passphrase in Wireshark entschlüsselt, und ich kann die entschlüsselten Daten jedes Frames sehen.
Der Punkt ist, wenn ich ein Paket mit einer bestimmten Zeichenfolge suche, kann ich es nicht finden. Obwohl ich die Gewissheit habe, dass die Zeichenfolge entschlüsselt wird, kann ich solche Daten in den entschlüsselten Daten eines Frames sehen.
Ich habe bereits versucht, in Paketbytes / liste / details mit der String-Option zu suchen, und ich habe auch nach Hexvalue ohne Erfolg gesucht.
Eine Problemumgehung, die mir in den Sinn kam, besteht darin, mit tshark den Verkehr zu entschlüsseln und einen Hexdump in eine Textdatei zu erstellen. Verwenden Sie danach grep, um die Zeichenfolge zu finden. Dies ist jedoch kein schöner Ansatz.
Wie finden Sie eine Zeichenfolge mit Wireshark bei einer entschlüsselten Verkehrserfassung?
Können Sie genauer erklären, warum die gewöhnliche Suchfunktion nicht funktioniert?
Mike Ounsworth vor 6 Jahren
1
Dies ist keine Sicherheitsfrage. Dies scheint eine Frage der Verwendung von Wireshark zu sein.
schroeder vor 6 Jahren
0
Es sieht so aus, als würde es nur nach den verschlüsselten Daten suchen, obwohl die Daten auf beide Arten (verschlüsselt und entschlüsselt) angezeigt werden. Zum Beispiel kann ich Zeichenfolgen oder Hexwerte finden, die in den verschlüsselten Daten verfügbar sind.
crato vor 6 Jahren
0
Nach dem, was Sie sagen, kann dies ein Fehler sein. Der richtige Ort, um die Frage in den [Wireshark-Foren] (https://ask.wireshark.org/questions/) zu stellen.
harrymc vor 6 Jahren
0
1 Antwort auf die Frage
0
Christopher Maynard
Verwandte Probleme
-
2
Erinnert sich Windows 7 Home Premium an Netzwerkfreigaben-Passwörter?
-
5
XP-Netzwerkverbindung ohne Neustart freigeben?
-
5
Wie richte ich Windows ein, 802.11 gegenüber 3G zu bevorzugen?
-
4
Gibt es eine Möglichkeit, den Scanner eines Multifunktionsdruckers gemeinsam zu nutzen?
-
3
Gibt es eine Möglichkeit, zwei Computer über USB anzuschließen?
-
3
Wie halten Sie mehrere Verbindungen zum Internet?
-
4
iPod-Touch zum Abspielen von Filmen vom PC auf der PS3?
-
2
Mac tritt der Windows-Arbeitsgruppe nicht bei
-
1
Wie kann ich die Sicherheit meines Portals erhöhen?
-
1
Wie vernetzt man Windows XP und Ubuntu Linux?