Finden Sie String-Pakete in entschlüsselten Daten mit wireshark / tshark

1

Ich analysiere eine Erfassung von verschlüsseltem Datenverkehr mit Wireshark. Ich habe den Datenverkehr mit der richtigen Passphrase in Wireshark entschlüsselt und kann die entschlüsselten Daten jedes Frames anzeigen.

Der Punkt ist, dass ich ein Paket mit einer bestimmten Zeichenfolge nicht finden kann, wenn ich es suche. Obwohl ich die Gewissheit habe, dass die Zeichenfolge entschlüsselt ist, kann ich solche Daten in den entschlüsselten Daten eines Frames sehen.

Ich habe bereits versucht, mit der Zeichenfolgeoption in Paketbytes / Liste / Details zu suchen, und ich habe auch erfolglos nach Hexwert gesucht.

Eine Problemumgehung, die mir in den Sinn kam und darin besteht, den Datenverkehr mit tshark zu entschlüsseln und einen Hexdump in eine Textdatei zu erstellen. Verwenden Sie danach grep, um die Zeichenfolge zu finden. Dies ist jedoch kein guter Ansatz.

Wie würden Sie einen String mit Wireshark bei einer entschlüsselten Verkehrserfassung finden?

networking  wireshark  forensics  decryption 
Crato
quelle
1
Können Sie näher erläutern, warum die übliche Suchfunktion nicht funktioniert?
Mike Ounsworth
Dies ist keine Sicherheitsfrage. Dies scheint eine Frage zur Verwendung von Wireshark zu sein.
Schröder
Es sieht so aus, als würde nur nach verschlüsselten Daten gesucht, obwohl die Daten in beiden Richtungen angezeigt werden (verschlüsselt und entschlüsselt). Beispielsweise kann ich Zeichenfolgen oder Hexwerte finden, die in den verschlüsselten Daten verfügbar sind.
Crato
Je nachdem, was Sie sagen, kann dies ein Fehler sein. Der richtige Ort, um die Frage in den Wireshark-Foren zu stellen .
Harrymc

Antworten:

0

Die Suchfunktion funktioniert nur bei sezierten Feldern, und die entschlüsselten Daten enthalten keine sezierten Felder, wenn sie nicht zur Interpretation an einen Sezierer übergeben werden. Sie können also entweder einen Dissektor für die entschlüsselten Daten schreiben oder Sie sollten zumindest in der Lage sein, einen Anzeigefilter zu verwenden, data contains "some string"um die Pakete zu finden, die Ihre interessierende Zeichenfolge enthalten.

Christopher Maynard
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.