BackTrack 3 beta. tcpdump. Wireshark. Jak otwożyć pakiety z tcpdump w wireshark ??

[papi337]

Witam

BackTrack 3 beta. tcpdump. Wireshark. Jak otworzyć pakiety z tcpdump w W wiresharku

Mam kartę bezprzewodową orinoco8470WD.
Tak wprowadzam kartę w tryb monitoringu:
bt ~ # airmon-ng stop ath0
bt ~ # airmon-ng start wifi0

Mam dwa komputery, na stacjonarnym mam internet bezprzewodowy, a na drugim czyli na laptopie mam uruchomiony system BackTrack 3 beta. Na stacjonarnym przeglądam strony www i rozmawiam na gadu-gadu, a na laptopie z systemem BackTrack 3 zbieram pakiety przesyłane przez komputer stacjonarny, a robię to tak, W tcpdump wpisuje polecenie:

bt ~ # tcpdump -i ath0 ether host 00:00:00:00:00:00 -w /tmp/bolek

I pakiety przesyłane zbieram ze stacjonarnego komputera do pliku -w /tmp/bolek. Zatrzymuje zbierane pakiety klawiszem ctrl+c i uruchamiam wireshark. W wireshark klikam na file później na open potem na tmp i na bolek i open i pakiety są załadowane do wireshark. Ale teraz pytanie do was, jak odczytać w tych pakietach tekst gadu-gadu które było używane i strony www kiedy to te pakiety w wireshark wyglądają tak:

No Time Source Destination Protocol Info
1 0.000000 [Packet size limited during capture]
2 0.120822 [Packet size limited during capture]
3 0.151282 [Packet size limited during capture]

I tak dalej i tak dalej.
Zebrałem ponad 50000 pakietów i wszystkie takie same tylko że mają inne numer Time i No.
Jak odczytać swój tekst gadu-gadu i strony www z tych pakietów ?
Kliknołem na pakiet lewym przyciskiem myszy i potem prawym przyciskiem myszy i chciałem wybrać Follow TCP Stream ale to nie jest wogóle podświetlone.
Pytanie do was, jak odczytać pakiety które zebrałem ?
Może coś źle robię.

[Nikow]

A więc tak, dziel te pliki z pakietami na mniejsze części, ponieważ wireshark sobie nędznie radzi z zbiorami powyżej 100MB.
Po drugie, tcpdump standardowo jest ustawiony tak, by wyłapywać tylko niewielką część pakietu, trzeba dodać mu modyfikator "-s 0" by łapał całe. Zacytuje manual dołączony do tcpdump'a:

...
-s Snarf snaplen bytes of data from each packet rather than the
default of 68 (with SunOS’s NIT, the minimum is actually 96).
68 bytes is adequate for IP, ICMP, TCP and UDP but may truncate
protocol information from name server and NFS packets (see
below). Packets truncated because of a limited snapshot are
indicated in the output with ‘‘[|proto]’’, where proto is the
name of the protocol level at which the truncation has occurred.
Note that taking larger snapshots both increases the amount of
time it takes to process packets and, effectively, decreases the
amount of packet buffering. This may cause packets to be lost.
You should limit snaplen to the smallest number that will cap‐
ture the protocol information you’re interested in. Setting
snaplen to 0 means use the required length to catch whole pack‐
ets.
...

Niestety, żadnej rozmowy nie wyłapałeś. Łapaj jeszcze raz :P

[papi337]

Witam

Dzięki nikow naprawde znasz się na żeczy.
Nikow czy mógłbyś mi podać swój numer gadu bo chciałbym z tobą porozmawiać na temat BackTrack 3

[Nikow]

Od pytanie o dane kontaktowe jest PM, kontakt tylko przez IRC'a.

[TQM]

Jak lapac pelne polaczenia tcpdump'em podawalem nie raz na forum - pelna skladania z parametrami... wystarczylo poszukac.