Analyse eines bekannten Protokolls mit Wireshark
geschrieben am 03.04.2007 um 16:18 von dr.dotti
Hallo,
Ich hätte mal eine Frage zu Wireshark.
Ich habe ein Prodokoll, das mit UDP transportiert wird.
Und Ich würde gerne das tarnsportierte Protokoll mit Wireshark analysieren.
Ich möchte allso, wenn ein solches Telegramm aufgezeichnet wird im Klartext lesen können was übermittelt wurde.
Hat sowas schon mal jemand gemacht,
funktioniert sowas überhaupt mit Wireshark???
mfg
Klaus
geschrieben am 03.04.2007 um 21:50 von Mirko
Wireshark zeigt doch die via UDP transportierten Daten an. Dazu müssen die Daten aber als ASCII oder EBCDIC vorliegen.
Sonst poste doch mal einen Frame.
Mirko
geschrieben am 03.04.2007 um 22:24 von bewa
Re: Analyse eines bekannten Protokolls mit Wireshark
Ich habe ein Prodokoll, das mit UDP transportiert wird.
Und Ich würde gerne das tarnsportierte Protokoll mit Wireshark analysieren.
Wireshark zeigt dir die Daten oberhalb von UDP entweder "roh" an, oder dekodiert sie, wenn es ein ihm bekanntes Protokoll findet.
Ich möchte allso, wenn ein solches Telegramm aufgezeichnet wird im Klartext lesen können was übermittelt wurde.
Dann muss es entweder ein Protokoll sein das Wireshark schon beherrscht (und das sind mittlerweile enorm viele), oder du musst deinen Dissektor selbst schreiben. Übliche Programmier-Sprache ist C, neuerdings auch LUA, wenn auch mit schlechterer Performance, gedacht insbesondere zu Testzwecken bzw. für Prototypen.
Hat sowas schon mal jemand gemacht, funktioniert sowas überhaupt mit Wireshark???
Genau dafür ist Wireshark gemacht. Es ist ein Analyse-Tool. Das man damit auch die Aufnahme von Netzwerkverkehr steuern kann, ist eher ein netter Nebeneffekt. Für alle weit verbreiteten und auch viele exotische Protokolle hat schon jemand die Arbeit übernommen und Plugins/Dissektoren entwickelt, ständig wird weiter entwickelt und überarbeitet. Eigeninitiative ist immer möglich. Zum einen ist das Programm Open Source, zum anderen sind die Schnittstellen weitgehende dokumentiert und genug Beispiele/Vorlagen liefern die anderen, schon vorhandenen Protokolle.
geschrieben am 04.04.2007 um 08:34 von dr.dotti
Hallo bewa,
Ich würde gerne das Protokoll EIBNet/IP Analysieren.
Wie kann ich herausfinden ob sowas schon einmal jemand gemacht hat??
Beim Googeln hab ich nur ein Programm gefunden das sehr teuer ist.
Welche Tools benötige ich um einenen Dissektor selbst zu schreiben???
Kann man dazu VisualC++ von Microsoft verwenden???
Gibt es eine Deutsches HOWTO oder Dokumentation??
Wo finden ich eventuell ein Beispiel???
mfg
Klaus
geschrieben am 04.04.2007 um 15:51 von bewa
Ich würde gerne das Protokoll EIBNet/IP Analysieren.
Wie kann ich herausfinden ob sowas schon einmal jemand gemacht hat??
Für Wireshark gibt es Listen mit unterstützten Protokollen, oder die Möglichkeit im Programm nachzusehen. Wireshark 0.99.5 unterstützt wohl kein EIB, wenn ich das auf die Schnelle richtig gesehen habe.
Welche Tools benötige ich um einenen Dissektor selbst zu schreiben???
Kann man dazu VisualC++ von Microsoft verwenden???
Ja, sollte kein Problem darstellen. An Programmierkenntnissen sollte man vor allem klassisches C schonmal gesehen/geschrieben haben, um nicht in die ganzen Anfängerfehler zu laufen.
Gibt es eine Deutsches HOWTO oder Dokumentation??
Ich fürchte eher nicht... Arbeitssprache bei Wireshark ist Englisch.
Die Entwicklergemeinde von Wireshark gilt als hilfsbereit und ist ständig aktiv mit der Weiterentwicklung beschäftigt - sonst wäre man nicht inzwischen bei über 700 Protokollen angelangt, wovon ja auch noch viele wieder überarbeitet und ergänzt werden müssen.
Wo finden ich eventuell ein Beispiel???
http://wireshark.org/ ist DER zentrale Anlaufpunkt für Interessierte und Entwickler. Dort gibt es neben dem User Guide (Installation+Bedienung) auch einen Entwicklerguide mit vielen Code-Beispielen, den Link zur Entwickler-Mailingliste, usw. In der Entwickler-Doku sind vor allem im Kapitel 9(?) zum Dissector reichlich Code-Happen, Beispiel-Samples, etc.
Wenn man sich zum Lernen fertige Dissectoren für andere Protokolle anschauen möchte, kann man in die Entwickler-Dokus schauen und natürlich hemmungslos in den Sourcen wühlen, um einfach mal zu schauen, wie andere so etwas programmiert haben. Wenn man nicht reichlich Übung beim Source-Code-lesen hat, sollte man natürlich mit irgendwelchen kleinen, überschaubaren Dissectoren beginnen.
Die Entwickler-Mailingliste ist auch in der Regel gerne behilflich, wenn es sich um Fragen handelt die sich nicht schon völlig offensichtlich aus der FAQ bzw. den Handbüchern beantworten lassen.
geschrieben am 04.04.2007 um 21:32 von Mirko
Ist die EIB-Spec eigentlich frei verfügbar?
Mirko
geschrieben am 05.04.2007 um 08:09 von dr.dotti
Ist die EIB-Spec eigentlich frei verfügbar?
Mirko
Meines Wissens nach kann man die Normen Kaufen.
Ich habe eine Diplomarbeit gefunden wo
das Protokoll sehr gut Beschrieben ist.
Und es gibt sehr viele OPEN Sorce Projekte die
mittlerweilen alle Arten der EIB Komunikation beherschen.
mfg
Klaus
geschrieben am 05.04.2007 um 09:22 von dr.dotti
Hallo,
ich habe mich gestern abend mal durch die Dokumentation gelesen
und versucht Wireshark auf meinem Windows Rechner zu übrsetzen.
Das ist jedoch mit folgender Meldung fehlgeschlagen.
C:\Programme\Microsoft Platform SDK for Windows Server 2003 R2\Include\W
inSock.h(903): Siehe Deklaration von 'WSAAsyncGetServByPort'
C:\Programme\Microsoft Platform SDK for Windows Server 2003 R2\Include\WinSock2.
h(2432) : error C2375: 'WSAAsyncGetProtoByName': Neudefinition; unterschiedliche
Bindung
C:\Programme\Microsoft Platform SDK for Windows Server 2003 R2\Include\W
inSock.h(911): Siehe Deklaration von 'WSAAsyncGetProtoByName'
C:\Programme\Microsoft Platform SDK for Windows Server 2003 R2\Include\WinSock2.
h(2457) : error C2375: 'WSAAsyncGetProtoByNumber': Neudefinition; unterschiedlic
he Bindung
C:\Programme\Microsoft Platform SDK for Windows Server 2003 R2\Include\W
inSock.h(918): Siehe Deklaration von 'WSAAsyncGetProtoByNumber'
C:\Programme\Microsoft Platform SDK for Windows Server 2003 R2\Include\WinSock2.
h(2482) : error C2375: 'WSAAsyncGetHostByName': Neudefinition; unterschiedliche
Bindung
C:\Programme\Microsoft Platform SDK for Windows Server 2003 R2\Include\W
inSock.h(925): Siehe Deklaration von 'WSAAsyncGetHostByName'
C:\Programme\Microsoft Platform SDK for Windows Server 2003 R2\Include\WinSock2.
h(2509) : error C2375: 'WSAAsyncGetHostByAddr': Neudefinition; unterschiedliche
Bindung
C:\Programme\Microsoft Platform SDK for Windows Server 2003 R2\Include\W
inSock.h(932): Siehe Deklaration von 'WSAAsyncGetHostByAddr'
C:\Programme\Microsoft Platform SDK for Windows Server 2003 R2\Include\WinSock2.
h(2532) : error C2375: 'WSACancelAsyncRequest': Neudefinition; unterschiedliche
Bindung
C:\Programme\Microsoft Platform SDK for Windows Server 2003 R2\Include\W
inSock.h(941): Siehe Deklaration von 'WSACancelAsyncRequest'
C:\Programme\Microsoft Platform SDK for Windows Server 2003 R2\Include\WinSock2.
h(2552) : error C2375: 'WSAAsyncSelect': Neudefinition; unterschiedliche Bindung
C:\Programme\Microsoft Platform SDK for Windows Server 2003 R2\Include\W
inSock.h(943): Siehe Deklaration von 'WSAAsyncSelect'
Hat jemand eine Idea an was das liegen könnte????
mfg
Klaus
geschrieben am 05.04.2007 um 14:25 von bewa
Hat jemand eine Idea an was das liegen könnte????
Keine Ahnung. Ich habe bis jetzt unter Windows immer nur die Binaries benutzt, da keine Notwendigkeit zum Kompilieren bestand. Meine Entwicklungsversuche liefen (ist schon eine Weile her...) unter FreeBSD und MacOS 10.4.
Wireshark hat ja inzwischen auch einen kostenlosen Helpdesk und diverse Mailinglisten. Vielleicht findest du dort Hilfe. Insbesondere die Entwickler-Mailingliste ist meistens recht aktiv und hilfsbereit. Wenn du nicht gerade den Eindruck machst, als müsste man dir alle Infos aus der Nase ziehen (Betriebssystem, verwendeter Compiler, usw.) dann findet sich dort eigentlich fast immer jemand der zumindest versucht zu helfen.
geschrieben am 08.04.2007 um 22:23 von Weihnachtsmann
man sollte nicht außer acht lassen an welchem Tag der Helpdesk ins Leben gerufen wurde. auch die antworten die er zurückliefert sind dementsprechend ;)
geschrieben am 09.04.2007 um 10:13 von Mirko
auch die antworten die er zurückliefert sind dementsprechend ;)
Erinnern mich irgendwie an an die Support-Hotlines vieler großer Firmen...
Mirko
geschrieben am 09.04.2007 um 13:13 von bewa
man sollte nicht außer acht lassen an welchem Tag der Helpdesk ins Leben gerufen wurde. auch die antworten die er zurückliefert sind dementsprechend ;)
:-)) Sorry, ich hatte das nur überflogen, mich gewundert wie die das personell machen wollen und dann aus Zeitgründen nicht weiter nachgelesen.
Eindeutig zu wenig Koffein... :-)
Die Entwickler-Mailingliste sollte aber trotzdem helfen können.
[ Dieses Thema im Live-Forum aufrufen ]
| 
