Inspection de sockets sur les sockets

Question

J'utilise WireShark pour inspecter les données envoyées/reçues via une socket Web, mais tout ce que je vois est un non-sens.

0000 1c 74 0d 7d 42 24 d8 5d e2 26 c1 7d 08 00 45 00 .t.}B$.].&.}..E. 0010 00 3c 75 4e 40 00 80 06 22 eb c0 a8 01 c0 4f 89 .<uN@...".....O. 0020 50 91 c4 f1 0f 78 72 e5 d0 f4 ea 5e 6e e2 50 18 P....xr....^n.P. 0030 00 40 91 b3 00 00 c2 8e 6d 06 87 95 7f 76 78 62 .@......m....vxb 0040 92 f9 54 2a 92 f9 b4 95 6c 06 ..T*....l.

J'ai vu ce type de sortie avant. La gauche est une ligne de binaire, et la droite est la chaîne décodée (ASCII), non?

Est-ce que ces données sont obscurcies/cryptées?

Est-il possible d'obtenir des informations convaincantes de mon socket?

En outre, que signifient les indicateurs [FIN] et [MASKED]?

Answer 1

Si vous copiez et collez les données que vous avez fournies dans un fichier texte et ajoutez une ligne commençant par 0050 sans le suivre, vous pouvez ensuite exécuter text2pcap -a infile.txt outfile.pcap pour convertir les données dans un fichier pcap que Wireshark peut lire et décoder pour vous .

Consultez la page de manuel text2pcap pour plus d'informations sur cet outil.

Je l'ai fait et le paquet semble être simplement un segment TCP simple. Il n'y a pas de drapeau [FIN] ou [MASKED], seulement PSH et ACK. Pour plus d'informations sur ces indicateurs TCP, reportez-vous à RFC 793, section 3.1, ainsi qu'aux autres RFC mentionnés en haut, qui mettent à jour celui-ci.