Netzwerkanalyse, Fehlersuche, Testberichte
Home / News
Netzwerkanalyse
Grundlagen
Verkabelung
Erste Schritte
Baselining
Let's sniff
Tools
Auswerten/Filtern
Typische Probleme 1
Typische Probleme 2
Sicherheit
Bücher
Tutorials
Cacti
DSL einrichten
DynDNS einrichten
m0n0wall | pfSense
Nmap
VirtualBox
Wireshark
FAQ
Know How
Testberichte
Hardware-DB
Netzwerklexikon
Links / Service
Suche
Kontakt
Impressum
Feedback
Sitemap
Netzwerktechnik Forum

Forum Netzwerktechnik (Archiv)

Kategorie Netzwerktechnik - Forum Tools

 
wireshark infos dekodieren

geschrieben am 26.06.2007 um 13:59 von c00per99

moin,
bin absolut neu hier, also entschuldige ich mich im vorraus für eventuelle unwissenheit ;)

Und zwar möchte ich den http Verkehr zwischen einem Webserver und einem Client untersuchen.
Habe mich nun dazwischen geschaltet und hab bißchen was interessantes mitgeschnitten. Verstehe auch einiges aber einiges auch wieder nicht.

Und Zwar wird per http Formlular ein Suchwort an den Server übergeben, der dann Entsprechende Datensätze in der Datenbank sucht.
Diese Anfrage hab ich auch wunderbar gefunden, auch mit den Suchkriterien und alles.

Jetzt liegt nur das Problem darin, die Antwort vom Server zu finden. Ich denke ich habe die Einträge auch gefunden, diese sind aber alle kryptisch.

Entscheidend ist jetzt aber, dass ich da verwertbare Daten drin finde.

Zweck dieser ganzen Sache ist, das ich später ohne diese Oberfläche, auf der das momentan funktioniert, Testanfragen an den Server stellen kann und schauen kann, ob er vernünftiges antwortet.


Ich hoffe das war jetz nicht zu wirr, aber es sieht momentan sehr wirr in meinem kopf aus ;)
Versuche mich grade in thematiken wir http und wireshark und alles mögliche gleichzeitig reinzufinden....

vielen dank für antworten im vorraus....
mfg
cooper
 

geschrieben am 26.06.2007 um 20:32 von Mirko

Setze mal einen Filter auf die TCP-Session mit der Anfrage. Dann solltest Du die Antwort des Servers gut erkennen können. Für das manuelle Erstellen von Anfragen würd ich wget nutzen.

Mirko
 

geschrieben am 27.06.2007 um 11:15 von bewa

Re: wireshark infos dekodieren

"c00per99" wrote:

Jetzt liegt nur das Problem darin, die Antwort vom Server zu finden. Ich denke ich habe die Einträge auch gefunden, diese sind aber alle kryptisch.

Entscheidend ist jetzt aber, dass ich da verwertbare Daten drin finde.


Dazu wäre es natürlich hilfreich zu wissen, was für ein Format erwartet wird. :-) Falls das unbekannt ist, wird die Aufgabe nicht unmöglich, aber anstrengender. Kannst du vorhersagen was du dort erwartest?

Quote:
Zweck dieser ganzen Sache ist, das ich später ohne diese Oberfläche, auf der das momentan funktioniert, Testanfragen an den Server stellen kann und schauen kann, ob er vernünftiges antwortet.


Reines Replay, also wiederholen bereits gestellter Anfragen? Oder gezieltes Stellen von Anfragen? Ersteres ist einfacher, letzteres ist wertvoller - weil man auch Aussagen über das Verhalten bei Fehlern etc. gewinnt. Außerdem kann reines Replay, also wiederholen der Anfragen, scheitern, wenn die Server-Anwendung (sinnvollerweise) mit Sessions oder Timern arbeitet - er verwirft dann (korrekt) deine Anfragen, weil sie nicht "zur richtigen Zeit" kommen.

Für reines Wiederholen der Anfragen gibt es einige Tools - es hängt immer davon ab, welche Umgebung verwendet werden soll (Betriebssystem, Laufzeitumgebungen). Ein Beispiel wäre HTTP-Rekorder für Perl:
http://www.perl.com/pub/a/2004/06/04/recorder.html
Ein anderes Beispiel wäre HTTPREPLAY.

Sinnvoller - wenn auch arbeitsauwändiger - ist es, den Traffic den man haben möchte selbst gezielt zu schicken. Entweder mit einem kommerziellen Traffic-Generator, einem Client den man fernsteuert (via Skriptsprache) oder einem mehr oder weniger vollständig in einer Skriptsprache emulierten Client. Die Protokolle bis einschl. HTTP muss man dafür nicht selbst implementieren - die Arbeit haben sich schon genug andere gemacht. ;-) Man schickt nur noch den Verkehr "oberhalb" HTTP, implementiert also die Anwendungslogik. Oft ist der Arbeitsaufwand gar nicht so hoch, wie man es anfangs meint und der Erfolg rechtfertigt - wenn man Fehlersuche ernst nimmt - schnell den Aufwand.

Ein Beispiel für einen simperen (HTTP-)Traffic-Generator ist http://www.nsauditor.com/web_tools_utilities/http_traffic_generator.html
Selbst schreiben kann man halt mit der Sprache seiner Wahl - ob jetzt Perl, Scheme, Java, VB, oder was auch immer. Alle bieten inzwischen mehr oder weniger komfortable Möglichkeiten, HTTP-Traffic zu behandeln. Ein populäres Beispiel ist LWP für Perl:
http://www.thomas-fahle.de/pub/perl/LWP/
http://www.perl.com/pub/a/2002/08/20/perlandlwp.html

Quote:
Versuche mich grade in thematiken wir http und wireshark und alles mögliche gleichzeitig reinzufinden....


Löblich. Wireshark kann bei der Fehlersuche sehr hilfreich sein. Oft reicht es, sich erstmal die Antworten der Anwendung anzuschauen, um sie auf korrektes Verhalten zu bewerten. Wenn das nicht geht, muss man mit einem (automatisierten) Client gezielt Anfragen schicken, s.o.
 

[ Dieses Thema im Live-Forum aufrufen ]

Sie befinden sich im Archiv des Forums.
Zum Forum

Archiv erstellt mit phpBB2HTML 0.1 - Foren in statisches HTML umwandeln © 2006 Mirko Kulpa

 

 
© 2004-2023, network lab - we make your net work - Netzwerkforum
aktualisiert am 13.05.2019