Sniffer c#

OFFLOL · 22.05.2013, 17:24

http://zhyk.ru/forum/showthread.php?t=427078

Можете подсказать как тут получать доп-но ещё и порты к ip адресам ?

zombiee · 22.05.2013, 20:43

Цитата:

Сообщение от OFFLOL


	Можете подсказать как тут получать доп-но ещё и порты к ip адресам ?

Это уже зависит от протокола.
К примеру, в [Ссылки могут видеть только зарегистрированные пользователи. ] и [Ссылки могут видеть только зарегистрированные пользователи. ] они идут сразу за айпи хидером, а в [Ссылки могут видеть только зарегистрированные пользователи. ] их вообще нет

По этому ищем структуру интересующего протокола и... Ну Ты понял

Для примера, выводит [Ссылки могут видеть только зарегистрированные пользователи. ] и [Ссылки могут видеть только зарегистрированные пользователи. ] порты
[Ссылки могут видеть только зарегистрированные пользователи. ] | [Ссылки могут видеть только зарегистрированные пользователи. ] на экзешник

[Ссылки могут видеть только зарегистрированные пользователи. ]

Изменения кода

OFFLOL · 22.05.2013, 21:08

Всё бы хорошо , но все протоколы показывает : Unknown ... + не отлавливает некоторые пакеты (исходящие)

zombiee · 22.05.2013, 21:19

Цитата:

Сообщение от OFFLOL


	Всё бы хорошо , но все протоколы показывает : Unknown ... + не отлавливает некоторые пакеты (исходящие)

Выше, на скриншоте же видно, что протокол - TCP

Да и порт назначения - 80-ый (тестил на [Ссылки могут видеть только зарегистрированные пользователи. ])

По поводу не всех пакетов - это ты как определяешь?

Может они не на тот интерфейс идут?

OFFLOL · 22.05.2013, 21:37

Цитата:

Сообщение от zombiee


	Выше, на скриншоте же видно, что протокол - TCP Да и порт назначения - 80-ый (тестил на [Ссылки могут видеть только зарегистрированные пользователи. ]) По поводу не всех пакетов - это ты как определяешь? Может они не на тот интерфейс идут?

Другой сниффер показывает что это протоколы TCP,UDP ...
А так показывает : Unknown .

+ в другом сниффере показаны пакеты , которые отсылает программа .. у программы опред. порт .

интерфейс выбираю аналогичный и в этом.

zombiee · 22.05.2013, 22:10

Цитата:

Сообщение от OFFLOL


	Другой сниффер показывает что это протоколы TCP,UDP ... А так показывает : Unknown .

Да? А ты уверен, что смотришь на одни и те же пакеты?
То, что они "одновременно" появились в обоих программах - ещё не значит, что это они и есть.
Далее, просто открываем [Ссылки могут видеть только зарегистрированные пользователи. ] структуру и смотрим: Protocol offset: 9 to 10 byte

Код:

1 byte  = byVersionAndHeaderLength = binaryReader.ReadByte();
1 byte  = byDifferentiatedServices = binaryReader.ReadByte();
2 bytes = usTotalLength = (ushort)IPAddress.NetworkToHostOrder(binaryReader.ReadInt16());
2 bytes = usIdentification = (ushort)IPAddress.NetworkToHostOrder(binaryReader.ReadInt16());
2 bytes = usFlagsAndOffset = (ushort)IPAddress.NetworkToHostOrder(binaryReader.ReadInt16());
1 byte  = byTTL = binaryReader.ReadByte();
1 byte  = byProtocol = binaryReader.ReadByte();

1 + 1 + 2 + 2 + 2 + 1 + 1 = 10

Что и требовалось доказать

Цитата:

Сообщение от OFFLOL


	+ в другом сниффере показаны пакеты , которые отсылает программа .. у программы опред. порт . интерфейс выбираю аналогичный и в этом.

Посмотри через отладчик / апи сниффер, какие опции он задает при создании / бинда сокета и сделай так же.

Кстати, ты не за VPN'ом сидишь? PPTP, L2TP и прочая хрень?

---------------------------------------------------------------------
Решение разгребли в скайпе - нужно было фреймворк на 2-ой переключить

Yukikaze · 23.05.2013, 11:25

Я вчера в личку ему скинул 2 класса описывающие формат TCP и UDP заголовков, кстати вот [Ссылки могут видеть только зарегистрированные пользователи. ], а потом ушел на работу, как вижу проблема еще не решена.
Могу посоветовать разобрать пример из этого поста, там небольшой пример сниффера с использованием WinPcap+Pcap.NET

Sniffer c#

Вопросы и ответы, обсуждения