Есть идеи, почему фильтры Ettercap не видят пакетные данные?

Question

Я использую фильтр Ettercap, чтобы обнаружить ответ на запрос, возвращаемый определенной службой на удаленной машине.Когда я вижу ответ от службы, я просматриваю данные в пакете, чтобы увидеть, является ли смещение определенным значением, и если да, я изменяю значение с другим смещением.

Проблема в, когда я пытаюсь сделать это на новой виртуальной машине, я построил свой фильтр Ettercap, который больше не получает никаких данных в доступной ему переменной DATA.data.

if(ip.proto == TCP && tcp.src == 17867) {
  msg("Response seen!\n");

  if(DATA.data + 2 == "\0x01") {
    msg("Flag detected!\n");

    DATA.data + 5 = 0x09;
  }
}

Фильтр применяется к трафику, потому что "Ответ замечен!»сообщения распечатываются Ettercap.Тем не менее, «Флаг обнаружен!»сообщений нет.Я думаю, что DATA.data действительно пуст, потому что если я изменю свой второй оператор "if", чтобы проверить на DATA.data == "", тогда "Флаг обнаружен!"сообщение распечатывается.

Есть идеи, почему это может происходить?!

Кроме того, если это неправильный сайт, на котором можно задавать подобные вопросы, сообщите мне.Я не был уверен, подходит ли он лучше здесь или где-то вроде суперпользователя или сервера.

Answer 1

У меня была такая же проблема.(ettercap получает null (0x00) символов или 0x20 (DECODED ONE)).Я попытался скомпилировать ettercap из исходного кода, и все работает нормально.попытайтесь зарегистрировать то, что когда-либо получит ettercap, используя фильтр LOG, а затем посмотрите, что получено.если это сборище nulls или zeros, ваша проблема, вероятно, похожа на мою!Похоже, что это какая-то проблема в etterfilter или самом ettercap.

измените вашу ettercap версию, и она будет работать (моя сделала)моя проблема была в возврате 5 r1 и это ettercap.Я обновил ettercap и все отлично работает.

Answer 2

Это может быть проблема с кодировкой.В целях отладки попробуйте распечатать значение DATA.data + 2, чтобы увидеть, что это на самом деле и какая длина соответствует.