Minun viimeinen viesti Etsimme jossain paketin purkaa. Yksi suurimmista kivut työskentelystä dekoodaa seuraa tietyllä alalla yli useamman paketin. Jotkut kentät eivät ole liian huono, koska ne yleensä saavat tulostaa oletuksena. Hyviä esimerkkejä ovat porttinumeroita ja TCP lippu asetukset. Mutta Uusin viesti olimme kanssa IP ID. Se yleensä saa vain painettu Jos katsot verbose tietoa, joten nyt voit päätyä paljon tietoa näytöllä että et välitä.
Onneksi uusi versio tshark korjaa tämän ongelman. Katsotaanpa toimi joissakin esimerkiksi niin näet mitä tarkoitan.
Mikä on tshark?
Tshark on komentorivi paketti apuohjelma, joka on mukana Wireshark . Jos et ole perehtynyt Wireshark, se on kiistatta yksi parhaista graafisia paketin dekoodaus nykyisin käytössä olevat, ja se on vapaasti käytettävissä. On olemassa versioita jotka toimivat Linuxissa, BSD ja Windows (YES! jopa Windows!).
Miksi työ komentoriviltä onko GUI versio? Tapauksessa tshark, se johtuu siitä, voit saada paremmin esille asettelu tietojen te todella haluavat nähdä.
Ongelma
Joten sanokaamme haluamme seurata IP ID lisäystä useita paketteja jää järjestelmään. Voimme yrittää komentoa seuraavan kaltainen:
C: \> tshark-n-i 3 src isäntä 192.168.100.5
Kaappaaminen on Intel (R) PRO/100 VE Network Connection (Microsoftin Packet Scheduler)
0.000000 192.168.100.5 -> 192.168.100.3 TCP 0> 1832 [RST, ACK] Seq = 1 ACK = 1 voitto = 0 Len = 0
1.003331 192.168.100.5 -> 192.168.100.3 TCP 0> 1833 [RST, ACK] Seq = 1 ACK = 1 voitto = 0 Len = 0
2.007332 192.168.100.5 -> 192.168.100.3 TCP 0> 1834 [RST, ACK] Seq = 1 ACK = 1 voitto = 0 Len = 0
3.011347 192.168.100.5 -> 192.168.100.3 TCP 0> 1835 [RST, ACK] Seq = 1 ACK = 1 voitto = 0 Len = 0
4.015336 192.168.100.5 -> 192.168.100.3 TCP 0> 1836 [RST, ACK] Seq = 1 ACK = 1 voitto = 0 Len = 0
Yllä komento kertoo tshark ei tehdä nimenselvitykseen kuunnella järjestelmän kolmanneksi käyttöliittymä, ja vain kaapata paketteja peräisin järjestelmän 192.168.100.5. Ongelma kuitenkin, missä on IP ID? Valitettavasti tshark, kuten tcpdump ja windump , ei tulosta IP ID arvoa oletuksena. Jopa Wireshark hautaa se keskimmäisessä ruudussa joten se voi olla vaikea havaita ja seurata yli useamman paketin.
Joten mitä tehdä? Normaalisti olisimme yksinkertaisesti lisätä "verbose"-kytkin. Tämä on mitä käytin viime post tulostaa IP-tunnuksen tcpdump. Kanssa tcpdump ja windump käytät kytkintä "-v", mutta tshark kytkin on aktivoitu "-V". Tässä esimerkki:
C: \> tshark-n-i 3-V src isäntä 192.168.100.5
Kaappaaminen on Intel (R) PRO/100 VE Network Connection (Microsoftin Packet Scheduler)
Frame 1 (54 tavua vaijerilla, 54 tavua kiinni)
Saapumisaika: 31 elokuu 2009 13:18:42.532218000
[Time Delta edelliset kiinni runko: 0.000000000 sekuntia]
[Time Delta edelliset näkyvän kehyksen: 0.000000000 sekuntia]
[Aika koska viittaus tai ensimmäinen kuva: 0.000000000 sekuntia]
Kuvan numero: 1
Runko Pituus: 54 bytes
Capture Pituus: 54 bytes
[Frame on merkitty: False]
[Pöytäkirjojen runko: ETH: ip: tcp]
Ethernet II, SRC: 00:07: E9: 46:2 d: 55 (00:07: E9: 46:2 d: 55), DST: 00:17:08:54:9: 00 (00:17:08: 54:9: 00)
Kohde: 00:17:08:54:9: 00 (00:17:08:54:9: 00)
Osoite: 00:17:08:54:9: 00 (00:17:08:54:9: 00)
.... ... 0 .... .... .... .... = IG bittinen: Yksilöllinen osoite (unicast)
.... .. 0. .... .... .... .... = LG bittinen: Maailmanlaajuisesti ainutlaatuinen osoite (tehdasasetus)
Lähde: 00:07: E9: 46:2 d: 55 (00:07: E9: 46:2 d: 55)
Osoite: 00:07: E9: 46:2 d: 55 (00:07: E9: 46:2 d: 55)
.... ... 0 .... .... .... .... = IG bittinen: Yksilöllinen osoite (unicast)
.... .. 0. .... .... .... .... = LG bittinen: Maailmanlaajuisesti ainutlaatuinen osoite (tehdasasetus)
Tyyppi: IP (0 × 0800)
Internet Protocol, SRC: 192.168.100.5 (192.168.100.5), DST: 192.168.100.3 (192.168.100.3)
Versio: 4
Header pituus: 20 tavua
Eriytettyjä palveluita Kenttä: 0 × 00 (DSCP 0 × 00: Default; ECN: 0 × 00)
0000 00 .. = Eriytettyjä palveluita Codepoint: Oletus (0 × 00)
.... .. 0. = ECN-Capable Liikenne (ECT): 0
.... ... 0 = ECN-CE: 0
Kokonaispituus: 40
Identification: 0 × 0461 (1121)
Liput: 0 × 00
0 ... = varattu hieman: Ei asetettu
0.0 .. = Älä katkelma: Ei asetettu
.. 0. = Enemmän sirpaleet: Ei asetettu
Fragment offset: 0
Aika elää: 128
Protokolla: TCP (0 × 06)
Header checksum: 0xed15 [oikea]
[Good: True]
[Bad: False]
Lähde: 192.168.100.5 (192.168.100.5)
Kohde: 192.168.100.3 (192.168.100.3)
Transmission Control Protocol, src portti: 0 (0), Dst Port: 2535 (2535), Seq: 1, Ack: 1, Len: 0
Lähde portti: 0 (0)
Määräsatama: 2535 (2535)
[Stream indeksi: 0]
Järjestysnumero: 1 (suhteellinen järjestysnumero)
Kuittaus numero: 1 (suhteellinen ACK numero)
Header pituus: 20 tavua
Liput: 0 × 14 (RST, ACK)
0 ... .... = Ruuhkaikkuna Reduced (CWR): Ei asetettu
0.0 .. .... = ECN-Echo: Ei asetettu
.. 0. .... = Kiireellinen: Ei asetettu
... 1 .... = Kuittaus: Set
.... 0 ... = Push: Ei asetettu
.... 0.1 .. = Reset: Set
[Expert Info (Chat / sarja): Connection reset (RST)]
[Viesti: Connection reset (RST)]
[Vakavuusasteen: Chat]
[Ryhmä: Sequence]
.... .. 0. = Syn: Ei asetettu
.... ... 0 = Fin: Ei asetettu
Ikkunan koko: 0
Tarkistussumma: 0 × 9078 [validointi käytössä]
[Hyvä Tarkistussumma: False]
[Bad checksum: False]
OK, jos me käydä läpi lähtö voimme löytää IP ID tiedot. Jos haluamme tarkistaa arvo yli useamman paketin kuitenkin, sen tulee olla aikaa vievää.
Tulostus vain tietyillä aloilla
Yksi ominaisuuksia uusin versio tshark on mahdollisuus tulostaa vain tietyt paketin kentät. Tämä tehdään käyttäen "-T kenttiä" kytkin. Voit sitten käyttää "-e" kytkin tiettyihin kenttiin haluat nähdä, tietyssä järjestyksessä haluat niiden tulostuvan. Tässä esimerkki:
C: \> tshark-n-i 3-T kentät-e ip.src-e ip.dst-e ip.proto-e ip.id src isäntä 192.168.100.5
Kaappaaminen on Intel (R) PRO/100 VE Network Connection (Microsoftin Packet Scheduler)
192.168.100.5 192.168.100.3 0 × 06 0 × 0491
192.168.100.5 192.168.100.3 0 × 06 0 × 0492
192.168.100.5 192.168.100.3 0 × 06 0 × 0495
192.168.100.5 192.168.100.3 0 × 06 0 × 0496
192.168.100.5 192.168.100.3 0 × 06 0 × 0497
"-E" kytkin käyttää samaa pcap syntaksia jota Wireshark näyttöä varten suodattimia. Packetlife on erinomainen lunttilappua osoittaa yleisesti käytettyjä arvoja. Vasemmalta oikealle, olen täsmentänyt lähde IP, kohde IP-liikennettä, jonka jälkeen IP ID arvo. Huomaa, että tätä muotoa, se on nyt triviaali seurata IP ID lisäyksen paketin stream.
Exec Yhteenveto
Kun suoritat paketin purkaa, se ei ole harvinaista päätyä paljon tietoa näytöllä kuin mitä tarvitset. Itse asiassa tämä voi olla vaikeaa löytää arvot yrität keskittyä päälle. Lisäksi on tshark uusi näyttövaihtoehtoja voi tehdä seuraavat tiedot yli useamman paketin paljon helpompaa kuin se on samanlaisia työkaluja.
Liittyvien virkojen:
