文件类型的 Wireshark 流量分析
Wireshark Traffic Analysis for File type
所以我想知道我们如何利用 Wireshark 查看用户是否通过互联网下载了 txt 文件。
我在 运行 wireshark 时试过这个:
https://code.google.com/p/androidnetworktester/downloads/detail?name=1mb.txt
我跟踪了HTTP流,可以看到URL和一堆,但是在PCAP包体中,我找不到任何地方的1mb.txt文件。只是好奇,如果我们正在做取证工作,我们如何证明这个人真的使用这个 wireshark 信息下载了这个?是不是因为使用了SSL所以PCAP中的所有文本都散布着随机代码?
非常感谢
if we are doing forensics works, how can we prove the person really downloaded this using this wireshark information
除非您能够解码内容,否则您无法从数据包捕获中真正证明这一点。在大多数情况下,这是不可能的,但是如果您可以访问站点的私钥(您通常不需要,因为它是私有的)并且如果使用了 RSA 密钥交换,那么您可以在捕获后解码流量。
从抓包中可以得到的是请求的目标主机,而不是确切的URL甚至内容。但是,如果数据包捕获的长度与内容的长度相匹配(传输中有一些开销)并且如果您知道这是服务器上唯一具有这种大小的文件,那么您可能至少有一个指示器表明用户可能已经下载了这个文件。但可能不足以作为真正的证明。
要获得更多证明,您可以查看浏览器的历史记录。
所以我想知道我们如何利用 Wireshark 查看用户是否通过互联网下载了 txt 文件。
我在 运行 wireshark 时试过这个: https://code.google.com/p/androidnetworktester/downloads/detail?name=1mb.txt
我跟踪了HTTP流,可以看到URL和一堆,但是在PCAP包体中,我找不到任何地方的1mb.txt文件。只是好奇,如果我们正在做取证工作,我们如何证明这个人真的使用这个 wireshark 信息下载了这个?是不是因为使用了SSL所以PCAP中的所有文本都散布着随机代码?
非常感谢
if we are doing forensics works, how can we prove the person really downloaded this using this wireshark information
除非您能够解码内容,否则您无法从数据包捕获中真正证明这一点。在大多数情况下,这是不可能的,但是如果您可以访问站点的私钥(您通常不需要,因为它是私有的)并且如果使用了 RSA 密钥交换,那么您可以在捕获后解码流量。
从抓包中可以得到的是请求的目标主机,而不是确切的URL甚至内容。但是,如果数据包捕获的长度与内容的长度相匹配(传输中有一些开销)并且如果您知道这是服务器上唯一具有这种大小的文件,那么您可能至少有一个指示器表明用户可能已经下载了这个文件。但可能不足以作为真正的证明。 要获得更多证明,您可以查看浏览器的历史记录。