問題タブ [packet-capture]

そのため、ネットワークからパケットを読み取り、メッセージを正しく再構成できる QA 部門用のツールを作成することを任されました (彼らは私たちのログを信用していません...長い話です)。

通信をリッスンしようとしているアプリケーションは、.NET の TcpListener クラスと TcpClient クラスを使用して通信しています。パケットの傍受は問題ではありません (私はSharpPcapを使用しています)。ただし、パケットをアプリケーション レベルのメッセージに正しく再構成することは、少し難しいことがわかっています。

一部のパケットには、1 つのメッセージの終わりと次のメッセージの始まりがあり、.NET の NetworkStream オブジェクトがアプリケーション レベルのメッセージのどこで終わり、もう 1 つのメッセージが始まるかをどのように判断できるかわかりません。

アプリケーション レベル メッセージの最後を含むパケットはすべて、TCP ヘッダーの「PSH」(プッシュ) フラグがオンになっていることがわかりました。しかし、メッセージの最後がそのパケット内のどこにあるかを .NET が正確に認識する方法がわかりません。

1 つのパケットのデータは次のようになります。

</Message>ストリームは、メッセージの最後までのみをアプリケーションに送信し、残りのメッセージが完了するまで残りを保存することをどのように認識しますか?

フラグメンテーション用に設定された IP レベルのフラグはなく、.NET ソケットはアプリケーション レベルのプロトコルを認識しません。だから私はこれが信じられないほど厄介だと思います。任意の洞察をいただければ幸いです。

パケット監視を行うプロジェクトがあります。指定したネットワーク インターフェイスで受信した各パケットをキャプチャしたい。

私は自分のプロジェクトを行うために何から始めるべきか知りたいです....最初にソケットプログラミングを学ぶべきですか、それとも何ですか? C# で winpcap を使用する方法を学ぶか、自分の機能を実行する必要があります。

どこから始めるべきかアドバイスしてください!!!

このためにインターネット上にC#のコードがたくさんあることは知っていますが、自分で学びたいのですが、どこからスターを付けるべきかわかりません!

プロミスキャス モード (たとえば、winpcap を使用) で一部のパケットをキャプチャし、MAC に送信されたとおりに OS (アプリケーション) に強制的に受信させることは可能ですか?

私の観察は次のとおりです。私たちはできる：

• プロミスキャス モード (winpcap) を使用してすべてのネットワーク トラフィックをキャプチャします。
• firewall-hook/filter-hook を使用してパケットをフィルタリング/変更します
• MAC を変更してパケットをネットワークに送信する

プロミスシャス モードのおかげで利用可能なすべてのパケットにファイアウォール フックがアクセスできるかどうかはわかりません。下層じゃないの？それができない場合、唯一の解決策は、目的のパケットをキャプチャし、MAC を変更してネットワークに再送信することですか?

私はネットワーキングの初心者なので、簡単に教えてください:)

どんな助けでも大歓迎です。前もって感謝します。

Wireshark を使用してマルチパート POST リクエストをスニッフィングしようとしています。キャプチャを表示するときに、ヘッダーと送信中のすべてのデータを含むように見える「再構築された TCP」を選択できます。ただし、すべてを選択して保存することはできないようです。フレーム ビューに戻ると、通常は送信全体を選択するフレームを選択できますが、ポスト データのみが保存されます。

再構築された TCP 全体を保存するにはどうすればよいですか?

HTTP スニファー プログラムを作成し、最初にスタンドアロン PC (Fedora) で実行しましたが、うまく機能しました。そして、これをLAN設定（バスLAN、Fedora OS再び）で試し、eth0をpromiscモードに設定すると、プログラムは実行中のシステムによって閲覧されたURLのみをキャプチャしますが、隣接するシステムで閲覧されたものはキャプチャしませんシステム。

ここで何か不足していますか？「サブネットの設定」、「ルーター/追加のイーサネット カードの使用」などについて話しているのを聞いたことがありますが、これらのどれが関連しているかはよくわかりません。

ネットワーク上の2つのデバイスからパケットをキャプチャしようとしています。

dd-wrtルーターにtcpdumpをインストールし、正しく機能しています。

ただし、これら2つのデバイスのみを示すtcpdumpステートメントを使用する場合、キャプチャするパケットはブロードキャストパケットのみです。

インターフェースbr0でキャプチャしています。あれは正しいですか？

両方のデバイスは、IPアドレスがそれぞれ192.168.3.105と192.168.3.136でポート1と2に直接接続されています。

br0を無差別モードに設定する必要がありますか？

少し立ち往生。ありがとう。

リクエストがWebブラウザによって行われたときにHTTP応答をキャプチャするにはどうすればよいですか？

Webページは、サービスからデータを（投稿付きで）取得します。サービスはjsonオブジェクトを返します。私が欲しいのは、そのjsonをキャプチャし、リアルタイムで解析することです。

それを行う最も簡単な方法は何でしょうか？

pcapを使用してパケットスニファを作成しています。
私はこのtcp構造を持っています：

シーケンス番号を印刷するにはどうすればよいですか？
htons（sequence_number）を使用する必要がありますか？このように機能していないので！

私の他の質問は、変数宣言の後の数は何ですか？
tcph_hlen：4で4はどういう意味ですか

実行したくないと思われる次のサンプルコードがあります。

理由はよくわかりません。私はpypcapを使用しています。これは、mac osx（leopard）を使用して、2.5.1バージョンと2.6バージョンの両方のPython（個別のマシン）で実行しています。

モジュール pcap で使用可能な属性を確認すると、次のようなものが表示されるはずです

[ ...をちょきちょきと切る...

'dltvalue'、'findalldevs'、'lookupdev'、'lookupnet'、'ntoa'、'pcapObject'、'pcapObjectPtr']

pcapObject に関する注記。ただし、実行時に得られるのdir(pcap)は

[ ... 中略... ' copyright ', ' doc ', ' file ', ' license ', ' name ', ' url ', ' version ', 'bpf', 'dltoff', 'ex_name', 'lookupdev '、'pcap'、'sys']

pcapObject がないことに注意してください。どうしてこれなの？何が原因でしょうか?