Как декодировать данные заглушки DCE RPC в WireShark

Question

Как декодировать данные заглушки DCE RPC в WireShark

Мне нужно сравнить сеанс подключения двух клиентов OPC DA, подключающихся к удаленному серверу. Под капотом они используют DCOM и DCE RPC. К счастью, WireShark предоставляетdcerpcдиссектор, но он не декодирует заглушки.

0

wireshark rpc dcom

Источник

devaskim 06 июн '23 в 12:05

1 ответ

Другие вопросы по тегам wireshark rpc dcom

grawity 07 июн '23 в 05:02 2023-06-07 05:02 · Answer 1 · 2023-06-07 05:02

Я не думаю, что это возможно . NDR (формат данных, используемый DCE RPC) не является «самоописающимся» — в полезных данных нет ничего, что отличало бы int32 от float и uint8[4]. Это означает, что Wireshark нуждается в определенном субдиссекторе для каждого интерфейса , который ему нужно проанализировать (например, у него есть отдельные диссекторы для различных интерфейсов Active Directory MS-RPC), распознавая их, просматривая UUID в пакете Bind.

В этом случае кажется, что, хотя Wireshark имеет частичный диссектор для IOXIDResolver (package-dcom-OXID.c), он поддерживает только анализ ответа RPC opnum 5 (очевидно, «ServerAlive2»), но не запроса, поэтому он оставляет оставшиеся полезная нагрузка в виде необработанных данных.