Найти строковый пакет в расшифрованных данных с помощью wireshark/tshark

Question

Найти строковый пакет в расшифрованных данных с помощью wireshark/tshark

Я анализирую захват зашифрованного трафика с Wireshark. Я расшифровал трафик с помощью правильной парольной фразы в Wireshark, и я могу видеть расшифрованные данные каждого кадра.

Дело в том, что если я ищу пакет с определенной строкой, я не могу его найти. Хотя у меня есть уверенность, что строка расшифрована, учитывая, что я могу видеть такие данные в дешифрованных данных кадра.

Я уже пытался искать в байтах / списке / деталях пакета с опцией строки, и я также искал по hexvalue без успеха.

Мне пришло в голову обходное решение, которое заключается в использовании tshark для расшифровки трафика и создания hexdump в текстовый файл. После этого используйте grep, чтобы найти строку. Однако это не очень хороший подход.

Как бы вы нашли строку с wireshark на расшифрованном захвате трафика?

3

networking wireshark forensics decryption

Источник

crato 03 окт '18 в 11:42

1 ответ

Другие вопросы по тегам networking wireshark forensics decryption

Christopher Maynard 19 окт '18 в 13:01 2018-10-19 13:01 · Answer 1 · 2018-10-19 13:01

Функция поиска работает только на вскрытых полях, а дешифрованные данные, если они не будут переданы анализатору для интерпретации, не будут иметь вскрытых полей. Таким образом, вы можете написать диссектор для расшифрованных данных или, по крайней мере, иметь возможность использовать фильтр отображения, такой как, data contains "some string" найти пакеты, содержащие интересующую вас строку.