L’intuizione che analizzare una mole molto vasta di dati non sarebbe stato uno scherzo m’è venuta dopo pranzo quando, passando il dump a wireshark questo dopo 13 minuti di elaborazione si è schiantato per un memory exceed.Se poi consideriamo che il server sul quale sto facendo l’elaborazione è un doppio Xeon con 4Gb di RAM la cosa diventa preoccupante.tcpdump in questo mi è venuto in aiuto (sprendido tool), filtra che ti filtra sono riuscito a raggiungere un monte dati significativamente grande e tagliato sulle mie necessità … ora però …
Ecco un top significativo
… vedere le due CPU di cui sopra impegnate da 72 minuti al 100% … e …
Penso di averne ancora per molto
… non vedere la fine dell‘elaborazione un pò mi sconforta. Sono strematoHo bisogno di quei dati!!!
<sfogo mode="off" />
salve,
RispondiEliminaho una cosa da chiedere, ovvero sto usando wireshark che mi sembra perfetto, ma non riesco a capire come devo convertire tutti quei simboli in parole leggibile, mi spiego meglio,una volta che decido di sniffare dei pacchetti da un determitao ip con il tasto destro gli do il comando FOLLOW TCP STREAM e fino a qui ci siamo ma poi quando mi apre la finestra non vedo altro che simboli ma non riesco a tirar fuori niente.
pls help
Ciao Emanuele
RispondiEliminaA quel punto devi scegliere la codifica con cui visualizzare il payload del traffico sniffato. ASCII7, ASCII8, Binary e così via ...
Trovi delle opzioni già sotto alla finestra di dialogo che visualizza i risultati
Ciao Andre...
RispondiEliminaInnanzitutto grazie della risposta!!
Fino a quel punto ci sono arrivato ma una volta salvato in ascii non si capisce niente.. ovvero mi da solo dei simboli e delle frasi che non si capiscono, non so se magari ho capito male quello che ho letto nelle varie guide ma avrei bisogno un programma che mi converta quei simboli in parole leggibili no??
Grazie ancora!
Perfetto :)
RispondiEliminaOra sta tutto nel capire se quelle parole che hai "raccolto" sono leggibili o no.
Innanzi tutto devi capire se il protocollo che stai analizzando comunica secondo quale standard applicativo (google aiuta molto in questo). Così come avviene per IP, TCP ed UDP anche il payload applicativo (99.999% dei casi) contiene un'altra codifica che devi interpretare.
Immagina di aver sniffato una comunicazione MSN:
Tutta la codifica IP e TCP viene decodificata ed analizzata in automatico da wireshark. Il resto ora sta a te. Nell'esempio specifico risorse come:
http://www.hypothetic.org/docs/msn/general/payload_commands.php
http://zoronax.spaces.live.com/blog/cns!4A0B813054895814!167.entry
Possono esserti d'aiuto!
Un caso di non (o difficile) reversibilità ad esempio è data da tutti quei protocolli che viaggiano in maniera cifrata dandoti come risultato "una serie di caratteri indecifrabili" ssh, ssl e derivati, tunnel vpn sono in cima a questa lista.
Spero d'esserti stato d'aiuto, se hai altro da chiedere sono qui
per il momento grazie mille sta sera dopo lavoro ci do un'occhiata e magari ti rompo ancora..ihih
RispondiEliminaun saluto dalle maldive!!
Se volevi farmi invidia ci sei riuscito! ARGH! :D
RispondiEliminaA presto
Be' almeno in questo visto che io ti invidio che te ne capisci..
RispondiEliminaIo sono un fai da te ma questo programma è troppo tecnico..
Comunque non ne esco fuori.. Vorrei beccare cosa viaggia sulla rete della mia isola ma riesco a beccarlo... Ma non riesco a decodificarlo.. Non stare nemmeno più a perdere tempo perché se non mi siedo al tuo fianco e vedo come fai te non riuscirò mai..
Sei gentile comunque.. Mi ha sempre affascianato fare un po l'hacker ma se non hai un buon maestro che ti fa vedere non ci si capisce molto!!
Mi piacerebbe fare qualche corso tecnico ma purtroppo con il lavoro che faccio non è possibile seguire dei corsi perché sono sempre in giro...
Grazie ancora.. La prossima volta ti salutero da santo domingo io vivo li.. Tie' beccato un'altro po di invidia.. Hihi se vuoi venire a fare dei corsi da quelle parti sarò Felice di essere il tuo primo alievo...
Purtroppo il web è quello che è, essere enciclopedici in un articolo equivale a scrivere una tesi :)
RispondiEliminaWireshark è un tool che sicuramente automatizza gran parte delle analisi ma il "tocco" finale è quasi sempre dato da un utilizzatore umano (conosci la legge dell'80/20?)
Se riuscissimo a fare un planning adeguato potrei farti tranquillamente dei corsi, e vista la bellezza dei posti che "visiti" i prezzi che farei sarebbero sicuramente concorrenziali :)
Per ora ti saluto, buon rientro a casa e mi raccomando passa pure da "queste parti" di tanto in tanto :)