Làm cách nào để phân tích dữ liệu hex từ đầu vào bàn phím với Wireshark?

Đối với mục đích học tập, tôi muốn phân tích các gói Ethernet viết tay, hex của mình với Wireshark. Tôi đã cố gắng viết các giá trị hex vào một tệp văn bản và nhập chúng vào Wireshark, nhưng chương trình không hiển thị gì cả.

Làm thế nào có thể phân tích đầu vào bàn phím với Wireshark?

wireshark

— Robin
nguồn

Điều đó khá cực nhưng tôi thích nó. Nếu bạn muốn làm điều đó thì những gì bạn có thể làm là xuất một tệp thực sự đơn giản từ wireshark, sau đó tìm hiểu cấu trúc của nó, sau đó viết nó vào, sao chép nó, sau đó xem nó có hoạt động không. Nếu nó không mở thì trong trình soạn thảo hex và so sánh nó với những gì có trong tệp gốc, và bạn sẽ thấy lỗi của mình ở đâu.

— barlop

bạn sẽ cần sử dụng một kỹ thuật xử lý sự cố cơ bản, khi bạn có A và B, khi A không hoạt động và B hoạt động, và chúng giống nhau đến mức những thay đổi nhất định biến đổi giữa A và B, vì vậy trong trường hợp của bạn, A là chữ viết tay 1 và B là đơn giản được xuất 1. Sau đó, nếu bạn muốn 2 tìm ra y A không hoạt động và B hoạt động, thì bạn có thể thực hiện theo 2 cách. Bạn có thể thử 2 biến A thành giống B hơn hoặc bạn có thể thử biến B thành giống A hơn .. hoặc bạn có thể làm cả hai và gặp một số điểm giữa hoạt động. Và khi bạn đạt được điều đó, sau đó bạn có thể biết thêm bài kiểm tra, tìm nơi bạn đã sai và xác nhận

— barlop

Các byte hex phải ở định dạng mà text2pcap mong đợi. Bạn có thể sử dụng text2pcapcông cụ đồng hành dòng lệnh Wireshark để chuyển đổi tệp văn bản thành tệp pcap (hoặc tệp pcapng thông qua -ntùy chọn) hoặc bạn có thể sử dụng chính Wireshark.

Như barlop đã chỉ ra, bạn có thể muốn bắt đầu với một gói đơn giản (hoặc số lượng gói nhỏ) trong Wireshark và xuất nó thành tệp văn bản qua File -> Export Packet Dissections -> as "Plain Text" file...phương thức của Wireshark để xem kết quả đầu ra. Nếu bạn làm điều đó, hãy chắc chắn bỏ chọn cả hai tùy chọn "Dòng tóm tắt gói" và "Chi tiết gói" và chọn "Byte gói"; nếu không bạn sẽ không thấy đầu ra dự kiến.

Nếu bạn muốn duy trì dấu thời gian của gói, bạn sẽ cần xuất nó. Để làm như vậy, tôi khuyên bạn nên tạo một cấu hình Wireshark mới chỉ chứa cột thời gian tuyệt đối và sau đó khi thực hiện xuất, chọn "Dòng tóm tắt gói", nhưng bỏ chọn "Bao gồm các tiêu đề cột". Điều đó sẽ ghi dấu thời gian vào tệp văn bản mà Wireshark hoặc text2pcapsau này có thể sử dụng khi nhập nó.

Trong Wireshark, bạn sẽ nhập tệp văn bản bằng cách File -> Import from Hex Dump...chọn hộp kiểm "Ngày / Giờ" nếu bạn muốn Wireshark sử dụng bất kỳ dấu thời gian đã lưu nào; định dạng mặc định của "% F% T." nên làm việc tốt Tham khảo Hướng dẫn sử dụng Wireshark để biết thêm thông tin.

Với text2pcap, bạn sẽ sử dụng một cái gì đó như sau để tạo tệp pcap từ tệp văn bản mà Wireshark có thể mở:

text2pcap -a -t "%F %T." input.txt output.pcap

Dưới đây là một số văn bản mẫu đại diện cho cặp yêu cầu / phản hồi tiếng vang ICMP để giúp bạn thực hiện:

2017-01-12 12:30:00.000000000

0000  00 20 ee 00 00 02 00 20 ee 00 00 01 08 00 45 00   . ..... ......E.
0010  00 28 45 a7 00 00 80 01 71 78 c0 a8 01 64 c0 a8   .(E.....qx...d..
0020  01 01 08 00 a5 d0 00 01 00 3f 48 65 6c 6c 6f 20   .........?Hello 
0030  57 6f 72 6c 64 21                                 World!

2017-01-12 12:30:00.000001000

0000  00 20 ee 00 00 01 00 20 ee 00 00 02 08 00 45 00   . ..... ......E.
0010  00 28 45 a7 00 00 ff 01 f2 77 c0 a8 01 01 c0 a8   .(E......w......
0020  01 64 00 00 ad d0 00 01 00 3f 48 65 6c 6c 6f 20   .d.......?Hello 
0030  57 6f 72 6c 64 21 00 00 00 00 00 00               World!......

— Christopher Maynard
nguồn