Цитата:
Сообщение от LordJZ
В таком случае я не понимаю о чем спор. Если в raw пишутся данные с нескольких соединений, то я не вижу способов расшифровать такой дамп без порядковых номеров соединений (1,2,3,4,...) для каждого пакета, даже если знать границы соединений. Ведь состояния ARC4 у всех соединений разные. Номер соединения в данный момент можно хранить только в optData, поэтому универсального конвертера из raw в не-raw формат существовать не может. Я заблуждаюсь?
|
все верно, необходимо что бы каждый чанк имел признак по которому можно было бы определить его принадлежность к конкретному номеру соединения. "Чистый" raw трафик не расшифровывается.
Я использую строку.
По поводу строки в optional data. Во первых формат не накладывает ограничений на содержимое этого поля, и хранение там строки абсолютно легально. К тому же никто не мешает после конвертации в pkt убрать вообще эти данные, тем самым уменьшить размер получаемого файла.
Да и вообще по большому счету не вижу смысла делать сниф в рав формат. Если уж руки и мозг позволяют написать снифер до состояние raw, то там недолго прикрутить и расшифровку и получается уже полноценный снифер в pkt -)))
Функция расшифровки есть в тиавпс, или тут можно спросить. Останется только написать алгоритм сборки расшифрованных пакетов из потока. А это уже чисто алгоритмическая задачка.