Я анализирую захват зашифрованного трафика с Wireshark. Я расшифровал трафик с помощью правильной парольной фразы в Wireshark, и я могу видеть расшифрованные данные каждого кадра.

Дело в том, что если я ищу пакет с определенной строкой, я не могу его найти. Хотя у меня есть уверенность, что строка расшифрована, учитывая, что я могу видеть такие данные в дешифрованных данных кадра.

Я уже пытался искать в байтах / списке / подробностях пакета с опцией строки, и я также искал по hexvalue без успеха.

Мне пришло в голову обходное решение, которое заключается в использовании tshark для расшифровки трафика и создания hexdump в текстовый файл. После этого используйте grep, чтобы найти строку. Однако это не очень хороший подход.

Как бы вы нашли строку с wireshark на расшифрованном захвате трафика?

|источник

1 ответ1

0

Функция поиска работает только на вскрытых полях, а дешифрованные данные, если они не будут переданы анализатору для интерпретации, не будут иметь вскрытых полей. Таким образом, вы можете написать диссектор для расшифрованных данных или, по крайней мере, иметь возможность использовать фильтр отображения, например, data contains "some string" чтобы найти пакеты, содержащие интересующую вас строку.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .