(Win)Pcap / Snoop / TCP: Packete finden und zusammensetzen
 

(Win)Pcap / Snoop / TCP: Packete finden und zusammensetzen

hi,

Ich suche schon seit längerem nach Möglichkeiten Datenverkehr in meim Netzwerk zu analysieren ...
Nach einigen Versuchen mit Hooks usw. bin ich auf Snoop (eine Komponente die auf (Win)PCap, so freie Netzwerktreiber, zugreift).

nur wahnsinnig viele Tutorials finde ich da leider nicht zu ...

NUN ZU MEINEM PROBLEM:

Ich will gerne Dateien die ankommen,

(wenn möglich den Dateinamen erkennen, gut, dass dürfte nicht DAS Problem sein)

dann aber diese Dateien auch SPEICHERN ...
... dafür muss ich diese allerdings erstmal aus den einzelnen Packeten wieder ZUSAMMENSETZEN

da hört's dann leider komplett bei mir auf ^^
Hab zwar schon versucht mich in TCP etwas einzuarbeiten, aber wirklich leicht zu verstehen ist das ja nun auch nicht ;)
(Bitte bitte bitte keine "RTFM"-Antworten, wenn ich Jahrelang Bibliotheken über TCP lese, dann kann ich das auch "irgendwann" ^^)
-------

kennt jemand nen gutes Tutorial zu "Snoop" oder PCap / WinPCap (aber Snoop brauch ich ja eh denk ich)
oder noch besser: Kann mir jemand sagen, wie ich:

1. Anfang von Dateien (oder Streams) ...
2. Die für die Datei wichtigen Packete, bzw. die zugehörigen Packete sortiere ...
3. Das Ende der Datei (oder Streams) ...

... unter den Packeten finde ?

--------
vielen Dank !
mfg. TDS

Re: (Win)Pcap / Snoop / TCP: Packete finden und zusammensetz
 

Eventuell geht das gar nicht so einfach, weil der Datentransport vielleicht verschlüsselt oder komprimiert (oder beides zusammen) stattfindet... ;-)

Von welcher Applikation sprechen wir?

Cu,
Udontknow

Re: (Win)Pcap / Snoop / TCP: Packete finden und zusammensetz
 

Verschlüsselung wird kein Problem darstellen denk ich,
geht um http hauptsächlich ...
wenn da was größeres ankommt was nicht in ein Packet passt, dann möchte ich das gerne wieder zusammensetzen.

Irgendwie muss der (zB Browser) ja auch wissen wie groß die Dateien sind und in welchen Packeten die zu finden sind.
(nur da hab ich ka wie ich das herausbekomme und vorallem die Packete dann wieder zusammensetzen kann)

vielen Dank
mfg. TDS

Re: (Win)Pcap / Snoop / TCP: Packete finden und zusammensetz
 

*push*
(sorry macht man eigendlich nicht, aber ich hab keine Idee :( )

Re: (Win)Pcap / Snoop / TCP: Packete finden und zusammensetz
 

Du wirst nicht umhin kommen, dir zumindest rudimentäre Kenntnisse über das TCP-Paketformat anzueignen.

Was du wohl vor allem brauchst ist die Sequenznummer.

Re: (Win)Pcap / Snoop / TCP: Packete finden und zusammensetz
 

Wenn es nur das ist kann ich SmartSnif nur empfehlen, der macht das Automatisch. Wenn etwas Komplexer sein soll nim halt Etherreal... . Soetwas nur für eine Analyse selbst zu schreiben dürfte viel Aufwand sein, da du Praktisch eine TCP Software schreiben musst.

mfg, Björn