3. Datentransfer abfangen

Datentransfer abfangen

  • S

    Hallo Leute!

    Gibts n win32 Programm mit dem ich mir in Klartext ansehen kann, was ein bestimmtes Programm mit einem Server austauscht? Also die Transferdaten abfangen?

    Danke.

    0
  • J

    mit ethereal ging sowas glaub ich. bin mir aber nicht mehr so sicher.

    0
  • S

    thx.

    nur leider zeigt mir das programm keine interfaces an.
    Du weisst nicht zufällig wie ich den namen des richtigen interfaces rausbekommen kann? ich hab hier winxp laufen.

    btw: windump verlangt auch den namen eines interfaces 😞

    PS:
    windump -D
    liefert mir nur:
    C:\downloads>windump -D
    windump: PacketGetAdapterNames: Der Vorgang wurde erfolgreich beendet.

    0
  • H

    Hallo!

    Wie meinst du tcpdump zeigt dir keine Interfaces an?
    Unter Linux benutze ich immer tcpdump (eh, würde theoretisch
    benutzen, meinte ich 😉
    Starten tu ich das so:

    $ tcpdump -s 10000 -w out [filter hier anhängen]
    Damit snifft der den gesamten Netzwerktraffic in ~10kb Stückchen

    Nachher lese ich den Traffic mit chaosreader ein, und schreibe ihn
    als HTML File, dort hat man alles schön übersichtlich aufgelistet.
    Den Chaosreader gibts hier: http://users.tpg.com.au/bdgcvb/chaosreader.html
    Ob der aber auch unter Windows läuft, weiß ich nicht.

    Hilft dir das etwas weiter?

    0
  • P

    Hi zusammen!
    Frohe Ostern und dicke Eier! 🕶

    Der Wege gibt es hier viele... aber unter win32 ist der Vorgang recht kompliziert.
    Allgemein:
    a) Untersuchung des Netzwerkprotokolls
    Ich nehme mal an das OSI Schichten-Modell ist dir bekannt:

    Applikation      =>     z.B. RPC/COM+
Präsentation     =>    weiß ich wie
Sitzung          =>    WinSock-Treiber
Transport        =>    z.B: UDP, TCP
Datenverbindung  =>    Ethernet-Treiber
Physikalisch     =>    Ethernet-Karte

    Also besteht ein Netzwerkübertragungsprotokollpaket z.B. hier aus:
    Ethernet IP UDP RPC od z.B. COM+

    b) Netzwerkprotokoll untersuchen alternativ zu handelsüblichen sog. Lanayzern:

    Wie es unter winxp/2003 habe ich kein Plan.
    Unter win2K befindet sich der Netzwerkmonitor und der System Manager-Server mit dem Du den Datenverkehr aufzeichen kannst:

    1. Im Monitor klicke im Menü Sammeln auf Starten .Dann starte Dein zu testendes Program für den Datentransfer.
    2. Dannach klicke Sammeln => Beenden und Anzeigen.
      Dann wird der Aufzeichnungsmodus deaktiviert und des aufgezeichnet Datentransfer angezeigt.
    3. Wenn Du Datenpakete, die nur von einen bestimmten Netzwerkprotokoll aufgezeichnet wurden, ansehen willst klicke auf Sammeln => Filtern.

    Den sog. Service Control Manager (SCM) ist auch in der Lage die
    RPC Schnittstelle IRemoteActivation offenzulegen. Diese findest Du unter win 2K als rpcss.dll und wird mit der svchost.exe offengelegt.

    Die Remote-Objekte werden in sog. PDU´s (protocol data unit) über das Netzwerk über tragen, die Du in zwei Bereiche 1) mit [IN]-Parametern für die Anforderungs-PDU und den [out]-Param. für die Anwort-PDU unterteilen kannst. Dabei gibt es 20 PDU Typen die Du in zwei Gruppen aufteilen sind - verbindungsorientiert und verbindungslos. (siehe MSDN)

    Um jetzt die IDL-Parameter über RPC zu erhalten. Siehe bei MSDN unter den Begiffen ORPCTHIS und ORPCTHAT und schau Dir auch den sog. OXID-Resolver an.
    Dir das jetzt hier auszumalen ist viel zu kompliziert.

    Eine Alternative die mir jetzt gerade noch einfällt, sind die sog. Channel-Hooks, mit denen Du in den Client-Komponenten Mechanismus eingreifen kannst.
    (siehe MSDN)

    Sorry, but is not so easy ... 😋

    cu

    P84

    0
Anmelden zum Antworten