RSS

Archive for July, 2011:

WireShark filter

1 Comment | Deze post is geplaatst op Jul 02 2011

Het is al weer een tijdje geleden maar dat maakt niet zoveel uit hoop ik. In deze blogpost ga ik vertellen hoe je met wireshark een filter maakt zodat je bijna alleen maar MSN connecties filtert. Het geinige ervan is dat ik dit vandaag in de trein van Zwolle naar Groningen heb gedaan. Wat je dan allemaal tegenkomt voor gesprekken wil je niet weten, of juist wel; maar dan moet je zelf maar in de trein gaan zitten en lekker het netwerk verkeer besnifferen.

Dan hier de uitleg:
Je begint met het aanmaken van een filter door achter de box filter te typen. Het volledig commando is:

(tcp.port == 1863) and (ip.src != [eigenIP]) and (ip.dst != [eigenIP])

uiteraard moet je waar nu ‘[eigenIP]‘ staat je eigen ip adres invullen (dus je locale/private adres en niet je public adres) om dit te vinden start je op windows de commando prompt (Start->Uitvoeren/Run->’cmd’->Ok) en typt in het commandprompt venster: ipconfig /all. Werk je op een mac of op een UNIX based systeem (mac en linux) open dan een terminal venster en typ ifconfig. Op beide systemen vind je onder het onderdeel van de interface waarop je gaat filteren het private ip adres. deze moet je invoeren in de filterbox.

 

De uitleg van het commando:
(tcp.port == 1863) – Hiermee filter je al het verkeer dat TCP als protocol heeft en poort 1863 gebruikt om te communiceren. (Dit is al het MSN verkeer)
and – hiermee geef je aan dat het ook aan de volgende voorwaarde moet voldoen
(ip.src != [eigenIP]) - Dit geeft aan dat het niet vanaf jouw eigen PC/laptop afkomstig mag zijn.
(ip.dst != [eigenIP]) - Dit geeft aan dat het niet naar jouw eigen PC/laptop mag gaan.

 

Ik heb de laatste 2 regels toegevoegd om te voorkomen dat je in de resultaten je eigen gesprekken voorbij ziet komen. Je kan dit filter ook toevoegen als een standaard filter en je kan de volgende keer het filter dan snel met je eigen private adres en je kan snifferen!

Als je er wat leuks mee hebt gedaan hoor ik het graag, een voorbeeld van het volledige filter is:

(tcp.port == 1863) and (ip.src != 10.0.0.14) and (ip.dst != 10.0.0.14)

Technology