Du må være registrert og logget inn for å kunne legge ut innlegg på freak.no
X
LOGG INN
... eller du kan registrere deg nå
Dette nettstedet er avhengig av annonseinntekter for å holde driften og videre utvikling igang. Vi liker ikke reklame heller, men alternativene er ikke mange. Vær snill å vurder å slå av annonseblokkering, eller å abonnere på en reklamefri utgave av nettstedet.
AbonnerSkjul
Host1.no - Webhotell fra 29,-, virtuell server fra 249,-. 15% rabatt med rabattkode "nFF". Besøk oss på Host1.no!
  12 1811
ynkey
346 145
8. mars 2010
Hei, jeg trenger litt hjelp om wireshark filter, når man ser i wireshark er det en kolonne som heter Info, hvordan kan jeg lage et filter som filtrer bort alle pakkene unatt de som har MSG i Infokolonnen?
Ztratoz90
Ztratoz90's Avatar
53 3
8. mars 2010
test denne her:
tcp.srcport == 1863 && ip.len > 150 && tcp.stream != 1

Edit:
Det er forresten veldig vanskelig å filtrere ut pakker via infokolonnen, det jeg tenkte på først var via:

frame[54:42] == 4d:53:47

der 4d:53:47 = MSG i hex

Men dette er forskjellig fra pakke til pakke....
så det er ikke mulig..
Sist endret av Ztratoz90; 8. mars 2010 kl. 13:52.
m0b
m0b's Avatar
DonorAdministrator
5.008 3.420
8. mars 2010
Vel, litt av problemet her er at Info-kolonnen gir deg en fortolket versjon av den underliggende protokollen til den pakken som er plukket opp. Derfor er man nødt til å lage et filter på andre premisser enn å høyreklikke og trykke på follow conversation eller prepare/apply as filter.

Wireshark har derimot et innebygd filter for MSN som du kan nå i msnms-namespacet. Filteret du ønsker å legge til er derfor

Kode

msnms contains MSG
Man driter derfor å gå i de lave OSI-lagene og går heller på det som er ferdig fortolket. Det er ikke spesielt vits i å begynne å tenke på frames, ip, tcp når man kan gå rett opp og se på applikasjonsnivået.
Sist endret av m0b; 8. mars 2010 kl. 13:56.
Ztratoz90
Ztratoz90's Avatar
53 3
8. mars 2010
Sitat av |d13m0b Vis innlegg
Vel, litt av problemet her er at Info-kolonnen gir deg en fortolket versjon av den underliggende protokollen til den pakken som er plukket opp. Derfor er man nødt til å lage et filter på andre premisser enn å høyreklikke og trykke på follow conversation eller prepare/apply as filter.

Wireshark har derimot et innebygd filter for MSN som du kan nå i msnms-namespacet. Filteret du ønsker å legge til er derfor

Kode

msnms contains MSG
Man driter derfor å gå i de lave OSI-lagene og går heller på det som er ferdig fortolket. Det er ikke spesielt vits i å begynne å tenke på frames, ip, tcp når man kan gå rett opp og se på applikasjonsnivået.
Vis hele sitatet...


Hehe, den virka jo bedre
Men da har jeg også lært idag, takker
ynkey
Trådstarter
346 145
8. mars 2010
Tusen takk
m0b
m0b's Avatar
DonorAdministrator
5.008 3.420
8. mars 2010
Ja, nå skal det også sies at du har også fulle muligheter til å kunne hente ut informasjonen lignende den måten du har forsøkt her. Men det du prøver å gjøre forsikrer ikke om at det er messenger sin protokoll man kommer inn på her.

Hvis man ser litt på detaljer hvordan kommunikasjonen er oppbygd så vil retningen opp til messenger-protokollen opp sin reise igjennom OSI vil det se ut som dette (i forhold til wireshark namespaces): Frame->Ethernet->Internet Protocol->Transmission Control Protocol->MSN Messenger Service.

Så, hvis man da prøver å kjøre "Frame contains MSG" så vil du kunne inkludere all frame-basert kommunikasjon som inneholder MSG. Dette vil i praksis si at alt av ethernet som inkluderer IP(TCP(HTTP, SSH, SSL, MSN), UDP(NetBIOS, DNS)), LLC(STP, DTP, CDP), osv. Sjangsen for at du skal få "støytrafikk" inn på søket ditt er med andre ord overhengende stor.
Sist endret av m0b; 8. mars 2010 kl. 14:34.
Ztratoz90
Ztratoz90's Avatar
53 3
8. mars 2010
Sitat av |d13m0b Vis innlegg
Ja, nå skal det også sies at du har også fulle muligheter til å kunne hente ut informasjonen lignende den måten du har forsøkt her. Men det du prøver å gjøre forsikrer ikke om at det er messenger sin protokoll man kommer inn på her.

Hvis man ser litt på detaljer hvordan kommunikasjonen er oppbygd så vil retningen opp til messenger-protokollen opp sin reise igjennom OSI vil det se ut som dette (i forhold til wireshark namespaces): Frame->Ethernet->Internet Protocol->Transmission Control Protocol->MSN Messenger Service.

Så, hvis man da prøver å kjøre "Frame contains MSG" så vil du kunne inkludere all frame-basert kommunikasjon som inneholder MSG. Dette vil i praksis si at alt av ethernet som inkluderer IP(TCP(HTTP, SSH, SSL, MSN), UDP(NetBIOS, DNS)), LLC(STP, DTP, CDP), osv. Sjangsen for at du skal få "støytrafikk" inn på søket ditt er med andre ord overhengende stor.
Vis hele sitatet...
Right you are ;D
▼ ... noen uker senere ... ▼
Carrier Return
Carrier Return's Avatar
294 132
23. mars 2010
Last ned NetWitness Investigator (gratisversjon) fra www.netwitness.com og importer capturen der.
Da skal du se du enkelt får ut den informasjonen du vil ha
Sist endret av Carrier Return; 23. mars 2010 kl. 14:57.
lookster
223 24
30. mars 2010
flere som har brukt netwitness? og kan bekrefte det fungerer og er enkelt?
Carrier Return
Carrier Return's Avatar
294 132
30. mars 2010
Jeg kan lage en bruksanvisning for Netwitness senere, men her er et screenshot som beskriver litt av kreftene.
Når man importerer en capture (eller får investigator til å gjøre en capture selv), sorteres alle sesjonene basert på metadata av sesjonene automatisk. I bunn ligger fortsatt rådataene i fulle captures, men du kan søke enkelt ved å trykke på forskjellige metadata som "kilde ip", "protokoll", "brukernavn" (hentes automatisk ut av sesjonene), "domene" osv osv osv. Programmet gjør det også enkelt å hente ut filer som har blitt overført, se på bilder osv.

Samtidig vises mailinnhold som om det var en mail, og som bildet viser under kommer en MSN Messenger samtale opp med akkurat det folkene skriver (automatisk):

http://netwitness.com//res/images/Investigator9.0_Screenshot_Large.jpg

(og løsningen de selger støtter overvåkning av opp til 10gbit nettverk, og kan clustres til å lagre flere 100 terrabyte, så de som begynner å tenke "echelon" når de ser dette programmet er nok kanskje inne på noe...spesielt hvis man leser litt om historien til selskapet (ble kommersielt for bare noen år siden, og da var allerede produktet i versjon 8))....
ynkey
Trådstarter
346 145
30. mars 2010
Takk for tipset, jeg laster ned programmet nå, men det er egentlig ingen mening i å bumpe en tråd som er nesten en måned gammel jeg greide tross alt å gjøre det jeg trengte med wireshark.
Carrier Return
Carrier Return's Avatar
294 132
6. april 2010
Sitat av ynkey Vis innlegg
Takk for tipset, jeg laster ned programmet nå, men det er egentlig ingen mening i å bumpe en tråd som er nesten en måned gammel jeg greide tross alt å gjøre det jeg trengte med wireshark.
Vis hele sitatet...
Vel...tråden din er kun merket med "wireshark", og ikke "jeg trenger hjelp med wireshark - og tråden blir foreldet etter 2 dager". Så hvis noen søker på forumet (som vi jo oppfordrer til) og finner tråden, kan det jo være kjekt at den inneholder litt mer enn bare det du ønsket...basert på navnet.
ynkey
Trådstarter
346 145
6. april 2010
Jeg hvet det er en litt dårlig tittel, og jeg skulle gjerne ha endret den, men det går dessverre ikke :/

Hvis noen vil ha filteret så er det

Kode

(msnms contains "CS=1;" || msnms contains "CS=0") && (ip.dst == 192.168.1.4 || ip.src == 192.168.1.4)
Bruk ARP Poisoning og endre ipen som står til ipen du vil sniffe.