Объявление

**Kozo** · 17.12.2009, 13:47

что конкретно надо найти?

FrontPage - The Wireshark Wiki

**AndrewEA** · 17.12.2009, 13:57

Ничего конкретного, это для универа.
Вот, например, надо узнать что происходит в этих 3 фреймах..

3 0.001925 131.247.95.216 64.233.161.99 TCP imyx > http [SYN] Seq=0 Win=16384 Len=0 MSS=1460
4 0.027528 64.233.161.99 131.247.95.216 TCP http > imyx [SYN, ACK] Seq=0 Ack=1 Win=8190 Len=0 MSS=1460
5 0.027635 131.247.95.216 64.233.161.99 TCP imyx > http [ACK] Seq=1 Ack=1 Win=17520 Len=0

**Kozo** · 17.12.2009, 14:23

Происходит вот это:

TCP Three-Way Handshake

хост 131.247.95.216 установил TCP connection с 64.233.161.99

**AndrewEA** · 17.12.2009, 15:10

спасибо!
А где можно прочитать про параметры из колонки INFO?

**Kozo** · 17.12.2009, 15:32

Даже не знаю...там достаточно понятно пишется что происходит.На первом этапе
думаю просто гуглить непонятную информацию.

**Мурзик Васильевич** · 17.12.2009, 17:01

Сообщение от AndrewEA Посмотреть сообщение

спасибо!
А где можно прочитать про параметры из колонки INFO?

Подробнее можно увидеть на панели 'Packet Details' (между списком принятых пакетов вверху и пакетом в hex внизу, если панели нет - 'View' -> [V] 'Packet Details'). Если пакет хитрый и он полностью не распарсился, то выделяем его в списке, 'правая кнопка мыши' -> 'Decode As...' и выбрать по каким полям и во что декодировать.

В любом случае читайте о протоколах, которые декодируете.

P.S. Хорошая штука этот Wireshark, а в связке с tcpreply - незаменимая для network разработок.

**Dj.hash** · 09.08.2010, 00:48

Hi to all:
Помогите проанализировать действия одного ботнета. Моя задача узнать, что происходит на конкретном примере. Принцип действия ботнетов уже известен, а вот, что происходит в wirshark сложнее. В WMplayer запустил ботнет и с помощью Wiresharka произвел захват виртуального адаптера. В итоге получил некоторое количество пакетов и теперь нужно создать документацию (анализ), а т.к. мои знания wirshark не велики, то все остановилось. Сам фаил с wireshark не смог прицепить, если кто сможет помочь, могу выслать!

Если кому несложно помогите с документацией или посоветуйте какую-нибудь литературу.

Заранее спасибо

**the_alexx** · 09.08.2010, 10:16

Сообщение от Dj.hash Посмотреть сообщение

Hi to all:
Помогите проанализировать действия одного ботнета. Моя задача узнать, что происходит на конкретном примере. Принцип действия ботнетов уже известен, а вот, что происходит в wirshark сложнее. В WMplayer запустил ботнет и с помощью Wiresharka произвел захват виртуального адаптера. В итоге получил некоторое количество пакетов и теперь нужно создать документацию (анализ), а т.к. мои знания wirshark не велики, то все остановилось. Сам фаил с wireshark не смог прицепить, если кто сможет помочь, могу выслать!

Если кому несложно помогите с документацией или посоветуйте какую-нибудь литературу.

Заранее спасибо

анализ вообще-то не вайершарком делается.. это просто инструмент захвата, анализ там самый простейший. Смотри в логе, какие протоколы используются, изучай протоколы...

**Dj.hash** · 09.08.2010, 21:59

Сообщение от the_alexx Посмотреть сообщение

анализ вообще-то не вайершарком делается.. это просто инструмент захвата, анализ там самый простейший. Смотри в логе, какие протоколы используются, изучай протоколы...

а если не сложно, то можете описать, что происходит в этих строках!

**Blaine the Mono** · 17.09.2010, 21:53

Да очень просто. Берёшь Вайр - и шаркаешь.

Объявление

Как пользоваться Wireshark

Как пользоваться Wireshark

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment