Расшифровка перехваченных пакетов

Question

Я понимаю, что у каждого пакета есть некоторый заголовок, который выглядит как случайное сочетание символов.С другой стороны, сам контент может быть в чистом виде и, следовательно, он может быть дружественным для человека.Некоторые из пакетов, которые я нюхал, были читабельными (необработанные заголовки HTML).Но некоторые пакеты выглядели так:

0000  00 15 af 51 68 b2 00 e0  98 be cf d6 08 00 45 00   ...Qh... ......E.
0010  05 dc 90 39 40 00 2e 06  99 72 08 13 f0 49 c0 a8   ...9@... .r...I..
0020  64 6b 00 50 c1 32 02 7a  60 4f 4c b6 45 62 50 10   dk.P.2.z `OL.EbP.

Это была лишь часть, эти пакеты обычно были длиннее.У меня вопрос, как я могу декодировать содержимое пакета / данные?Мне нужен весь поток?Является ли декодирование простым, или каждое приложение может кодировать его немного иначе, чтобы гарантировать защиту этих пакетов?

Редактировать: Мне не важен заголовок, Wireshark показывает это.Однако это абсолютно бесполезная информация.Я хочу декодировать данные / контент.

Answer 1

Содержание пакета определяется процессом его отправки. Думайте об этом как телефонный звонок. То, что сказано, зависит от того, кто звонит и с кем разговаривает. Вы должны изучить программы, которые его конструируют, чтобы определить, как его «декодировать». Есть некоторые снифферы, которые будут анализировать некоторые часто используемые методы кодирования и попытаются сделать это уже.

Answer 2

Почему бы просто не использовать что-то вроде wireshark?

Answer 3

Если вы используете C #, возьмите SharpPcap и посмотрите на примеры в коде, чтобы понять, как это работает.

Установите фильтр для захвата только UDP, захвата пакета, анализа его в udp и извлечения полезной нагрузки. Формат полезной нагрузки основан на отправляющем его приложении.

Там много лишней тарабарщины, потому что каждый пакет udp содержит стек:

• Ethernet-заголовок
• IP-заголовок
• заголовок UDP

информации перед вашими данными и всеми входящими данными в двоичном формате до тех пор, пока вы не проанализируете их в чем-то значимом.

Answer 4

Заголовки пакетов будут зависеть от приложения, отправляющего данный пакет, как упоминалось в предыдущем посте.Вы также можете использовать Wiresharks справочник по протоколу для понимания некоторых распространенных протоколов.

То, что вы перечислили здесь, - это байт пакета, и вам нужно увидеть представление «Сведения о пакете», чтобы понять, чему соответствуют, казалось бы, случайные данные.В представлении Packet Detail, когда вы выбираете различные части пакета, он выделяет соответствующий байт в представлении Packet Byte.