Как в wireshark перейти по смещению.

0

1

Добрый день, вот в hiew можно переходить при анализе бинарей по относительному и по абсолютному адресу, а как при анализе pcap бывает полезно сразу перейти например по абсолютному смещению или по относительному (например 24 байта с начала пакета). Как-нибудь это можно реализовать, возможно каким-нибудь плагином?

←	Внезапные сегфолты

ncurses. Текущее положение курсора.

→

Если брать pcap, то фильтр пишется просто part[offset:len]
ip[9:1] - протокол
ip[20:2] - порт назначения если протокол udp или tcp или udp[0:2]
ether[12:2] = 0x0800 - выбрать IPv4 over ethernet

vel 👍
(18.03.26 15:42:12 MSK)

На правах идеи: в Python есть библиотеки pcap, я пользовался pcap-ng для Python. Понимаю что оффтоплю, но для анализа пакетов показалось удобно долбить большие дампы в автоматическом режиме, в том числе выводить данные по смещениям

I-Love-Microsoft 👍👍👍👍
(24.03.26 00:50:32 MSK)

Ответ на: комментарий от vel 18.03.26 15:42:12 MSK

Так, у меня чуть немного другая задача, нужно смотреть что там например в пакетах с TLS по смещению какому-то конкретному от заголовка. Наверное тут лучше будет что-то самому наверное на lua сделать

da17
(29.03.26 11:20:39 MSK) автор топика

Ответ на: комментарий от I-Love-Microsoft 24.03.26 00:50:32 MSK

В принципе наверное да, просто берешь дамп и смотришь если TLS какие там расширения например, наверное подойдет, почему бы нет, хотелось бы конечно самому кнопку приделать как-нибудь, но думаю пойдет, просто не смотрел на задачу с этой стороны.

da17
(29.03.26 11:22:33 MSK) автор топика

Ответ на: комментарий от da17 29.03.26 11:20:39 MSK

Если для чтения используется libpcap, то там можно добавлять фильты и получать только те пакеты которые тебя интересуют.

Разбор пакета (IPv4), если оно только tcp, очень простой.

Единственная проблема - тип линка (pcap_datalink()), т.к. по нему нужно определять смещение до начала ip-заголовка в пакете.

vel 👍
(29.03.26 13:53:29 MSK)

←	Внезапные сегфолты

Development

ncurses. Текущее положение курсора.

→

Похожие темы