SilentJetty
22.01.2012, 21:06
Рад представить на оценку обществу... Нет, не рад.... просто представляю на обществунный суд свою небольшую разработку.
Итак, что это такое:
Это анализатор трафика, потроенный на основе Wireshark. Что такое Wireshark можно узнать в гугле. Т.о. мой архив/установщик/софт это обычный Wireshark + дополнительно разработанный диссектор(так называются модули анализа) для трафика PW. В текущий момент реализован почти весь базовый функционал и основная работа которая будет выполняться далее это создание визульного представления пакетов ну и конечно же обильный багофикс. Таким образом текущая версия не столько конечное решение, сколько обзорный "пре-релиз".
Итак, в чем же преимущества:
1. Больше нет необходимости в дополнительных программах типа прокси, дампер, переадресации трафика в другие сокеты/порты, синхронизации этой кучи в попытке заставить работать вместе. Почему? Потому что Wireshark умеет нормально и по-человечески в реальном времени перехватывать трафик через любые интерфейсы и, соотвественно, отображать пользователю как служебные данные, так и сам трафик и данные из пакетов.
2. Wireshark имеет возможность не только отображать информацию в окошке. Весь лог можно сохранить в стандартизированном формате pcap (вместо самописных костылей). Если вам нужен этот трафик не сейчас а потом, вы можете сохранить перехваченный трафик (либо консольной утилитой, либо в wireshark), и затем, позже, загрузить его и не спеша изучить его.
3. Гибкая система фильтров и выборок... Кто использовал Wireshark, тот знает. Аналогов его гибкости просто нет.
Теперь о плохом, а точнее о моей реализации анализа протокола:
1. На Win7 x64 категорически не работает, на XP работает без проблем. Выявить в чем проблема на симёрочке пока не могу. Совсем нет идей почему это происходит. [Слався великий майкрософт со своими несовместимыми косыми и глючными поделками. Ненависть. Ненависть. Ненависть.]
2. Диссектор(анализатор) не поддерживает мультисессии(в смысле 2 клиента)... пока что... конечно же будет поддерживать... потом... :)
3. Собственно детализация пакетов сделана только для пакетов до входа в мир... И то не совсем полная :) С удовольствием прочту дополнения к детализации.. и добавлю в код их :)
Чего хотелось бы услышать:
- отзыв конечно же вцелом;
- очень надо знать Вашу версию ОС Windows и заработало или нет;
- дополнение к описанию пакетов;
Собственно линк:
[Ссылки могут видеть только зарегистрированные и активированные пользователи]
Вирус-тотал ([Ссылки могут видеть только зарегистрированные и активированные пользователи] 5de9d98a37b988/analysis/1327271248/)
Проверено работает на Windows XP Pro 32-bit
P.S. Есть "сборки" для Linux/*BSD...
Добавлено через 8 минут
Небольшая инструкция:
По понятным причинам запускать Wireshark надо ДО того как вы влогинитесь. Очень сильно желательно перезапускать процесс перехвата перед новым логином... Я предупреждал :)
После запуска видим такое окошко:
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
В нем тыкаем вторую кнопочку в верхней панельке, это настройка перехвата трафика. Там выбираем что захватывать трафик со всех устройств, а так же устанавливаем фильтр: захватывать трафик только на порт 29000(Порт игрового сервера). Давим старт.
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
Получается вот такое окошко, в котором будут высвечиватьяс все пакеты которые идут в сторону игрового сервера и от него. Тут же если возможно, то расшифровка пакетов:
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
1. Список пакетов, если пакет содержит данные, то тип игрового пакета указывается
2. Область расшифровки пакета, тут человекопонятным текстом описывается то что удалось расшифровать
3. Область где отображается дамп пакета, первая вкладка - сырой пакет, вторая - расшифрованный и "готовый к употреблению" :)
Итак, что это такое:
Это анализатор трафика, потроенный на основе Wireshark. Что такое Wireshark можно узнать в гугле. Т.о. мой архив/установщик/софт это обычный Wireshark + дополнительно разработанный диссектор(так называются модули анализа) для трафика PW. В текущий момент реализован почти весь базовый функционал и основная работа которая будет выполняться далее это создание визульного представления пакетов ну и конечно же обильный багофикс. Таким образом текущая версия не столько конечное решение, сколько обзорный "пре-релиз".
Итак, в чем же преимущества:
1. Больше нет необходимости в дополнительных программах типа прокси, дампер, переадресации трафика в другие сокеты/порты, синхронизации этой кучи в попытке заставить работать вместе. Почему? Потому что Wireshark умеет нормально и по-человечески в реальном времени перехватывать трафик через любые интерфейсы и, соотвественно, отображать пользователю как служебные данные, так и сам трафик и данные из пакетов.
2. Wireshark имеет возможность не только отображать информацию в окошке. Весь лог можно сохранить в стандартизированном формате pcap (вместо самописных костылей). Если вам нужен этот трафик не сейчас а потом, вы можете сохранить перехваченный трафик (либо консольной утилитой, либо в wireshark), и затем, позже, загрузить его и не спеша изучить его.
3. Гибкая система фильтров и выборок... Кто использовал Wireshark, тот знает. Аналогов его гибкости просто нет.
Теперь о плохом, а точнее о моей реализации анализа протокола:
1. На Win7 x64 категорически не работает, на XP работает без проблем. Выявить в чем проблема на симёрочке пока не могу. Совсем нет идей почему это происходит. [Слався великий майкрософт со своими несовместимыми косыми и глючными поделками. Ненависть. Ненависть. Ненависть.]
2. Диссектор(анализатор) не поддерживает мультисессии(в смысле 2 клиента)... пока что... конечно же будет поддерживать... потом... :)
3. Собственно детализация пакетов сделана только для пакетов до входа в мир... И то не совсем полная :) С удовольствием прочту дополнения к детализации.. и добавлю в код их :)
Чего хотелось бы услышать:
- отзыв конечно же вцелом;
- очень надо знать Вашу версию ОС Windows и заработало или нет;
- дополнение к описанию пакетов;
Собственно линк:
[Ссылки могут видеть только зарегистрированные и активированные пользователи]
Вирус-тотал ([Ссылки могут видеть только зарегистрированные и активированные пользователи] 5de9d98a37b988/analysis/1327271248/)
Проверено работает на Windows XP Pro 32-bit
P.S. Есть "сборки" для Linux/*BSD...
Добавлено через 8 минут
Небольшая инструкция:
По понятным причинам запускать Wireshark надо ДО того как вы влогинитесь. Очень сильно желательно перезапускать процесс перехвата перед новым логином... Я предупреждал :)
После запуска видим такое окошко:
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
В нем тыкаем вторую кнопочку в верхней панельке, это настройка перехвата трафика. Там выбираем что захватывать трафик со всех устройств, а так же устанавливаем фильтр: захватывать трафик только на порт 29000(Порт игрового сервера). Давим старт.
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
Получается вот такое окошко, в котором будут высвечиватьяс все пакеты которые идут в сторону игрового сервера и от него. Тут же если возможно, то расшифровка пакетов:
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
1. Список пакетов, если пакет содержит данные, то тип игрового пакета указывается
2. Область расшифровки пакета, тут человекопонятным текстом описывается то что удалось расшифровать
3. Область где отображается дамп пакета, первая вкладка - сырой пакет, вторая - расшифрованный и "готовый к употреблению" :)