Packete analysieren
geschrieben am 25.03.2007 um 14:57 von Dandrolvorn
hiho ;)
Das ist mein erster Post in diesem Forum, also möchte ich mich kurz vorstellen ->
Ich bin Dandro(vlorn), und bin im Moment ganze 19 Jahre alt, komme ausm
Norden Deutschlands, und bin leidenschaftlicher Entwickler von Anwendungen.
In letzter Zeit beschäftige ich mich viel mit Netzwerkentwicklung, und muss nun
im Zuge dessen ein unbekanntes Protokoll analysieren. Mit allem drum und
dran, sprich PaketID, Size, usw. (Falls sowas denn dann vorhanden ist)
Den nötigen Datenstrom suche ich mir mit Wireshark raus, klappt auch wunder-
bar. Doch nun geht es daran eben das Protokoll aufzudecken, wie es arbeitet, usw.
Wie geht man da am besten vor? Gibt es evtl. Tools, die auffällige Wieder-
holungen aufdecken etc.
Ich hoffe ich habe mich verständlich ausgedrückt :D
Gruß, Dandro
geschrieben am 25.03.2007 um 18:16 von Mirko
Willkommen im Forum,
Auf welchem Layer arbeitet das Protokoll denn? Welche anderen Protokolle liegen darunter?
Hast Du die Möglichkeit, die übertragenen Daten zu beeinflussen? Also zum Beispiel mit einer bestimmten Taste an einem Gerät eine Übertragung auslösen?
Mirko
geschrieben am 25.03.2007 um 18:35 von Dandrolvorn
Ich versuch mal die Fragen so gut zu beantworten wie ich kann ... :D
- Auf welchem Layer arbeitet das Protokoll denn?
Ich bin mir nicht ganz sicher ob du das meinst, aber ich denke du meinst das
Internet Protocol (IP), ansonsten würde mir nur noch "Ethernet II" einfallen, glaube aber nicht dass du das meinst.
- Welche anderen Protokolle liegen darunter?
Eindeutig UDP. Danach kommen nur noch die RAW Daten, um die es mir geht, sprich darunter liegt das mir unbekannte und zu analysierende Protokoll.
- Hast Du die Möglichkeit, die übertragenen Daten zu beeinflussen?
Ja, ich kann durch Interaktion mit dem Programm Übertragungen
auslösen, dafür ist das Programm ja auch da.
Ich hoffe ich konnte die Fragen hinreichend beantworten ;)
geschrieben am 25.03.2007 um 21:51 von Mirko
OK. Das Protokoll nutzt also UDP für den Transport. Dann würde ich einfach die Veränderungen zwischen den einzelnen Frames analysieren. So sollten sich Felder wie Zähler, Längenangaben und Prüfsummen finden lassen. Dann die entsprechenden Aktionen in der Software auslösen und nach Veränderungen suchen. Welche UDP-Portnummer nutzt das Protokoll? Welche Geräte unterhalten sich denn da?
Mirko
geschrieben am 25.03.2007 um 21:56 von Dandrolvorn
Puh, hab mir schon gedacht dass es so richtig schwer wird ;) Naja, den Port
kann ich über Parameter variieren, und es tauscht sich ein Spiel mit dem
Server aus. Aber keine Angst ich will mir keinen Vorteil durch gezielt
gesetzte Pakete verschaffen, sowas mag ich mal gar nicht :D
Mir juckts einfach in den Fingern, die ja jetzt wieder ordentlich zu tun haben ^^
Gibts denn für sowas keine Tools (Ich meine keine, die mir die komplette
Arbeit abnehmen, sondern solche, die es einem erleichtern nach Wieder-
holungen oder ähnlichem zu suchen)?
geschrieben am 25.03.2007 um 22:05 von Mirko
Gibts denn für sowas keine Tools (Ich meine keine, die mir die komplette Arbeit abnehmen, sondern solche, die es einem erleichtern nach Wiederholungen oder ähnlichem zu suchen)?
Kenne ich keine. Aber Wireshark kann ja auch ASCII exportieren. Man könnte auch mit Perl direkt die pcap-Files lesen und auswerten.
Kennst Du schon die Doku zum Quake Network Protocol ? Die vermittelt einen ganz guten Eindruck vom Aufbau so eines Protokolls.
Mirko
[ Dieses Thema im Live-Forum aufrufen ]
|