[gelöst] Frage zu tcpdump/pcap

[Krull]

Hallo,

ich habe hier eine pcap-Datei von einer unverschlüsselten http-Stitzung bei der Klartext übertragen wurde. Diesen Klartext kann ich tcpdump allerdings nicht wiederfinden. Was ich sehe sind die http-header und diverse javascript-Schnipsel. Dazwischen steht aber nur überwiegend Zeichensalat. Woran kann das liegen? Kann es sein, dass teilweise mit deflate|gzip komprimiert wurde und tcpdump damit nichts anfangen kann? Die Doku lässt sich zum Thema Kompression ja nicht aus. Oder woran könnte das noch liegen? Die tcp-Pakete sind übrigens nicht beschnitten, wurden also mit '-A -s 0' aufgezeichnet.

[catdog2]

Evtl willst du wireshark

[Krull]

Nee, eigentlich will ich das nicht so gerne. Hauptsächlich aus ästhetischen Gründen. Dessen Oberfläche sieht auf meinem Desktop seit dem Wechsel zu Jessie völlig entstellt aus (wie auch andere GTK-Programme), sodass man damit kaum sinnvoll arbeiten kann. Aber grundsätzlich funktioniert es mit Wireshark. Es scheint wirklich an gzip-Kompression gelegen zu haben. Wieso kann tcpdump das nicht? Bestimmt aus Datenschutzgründen

Laut Doku soll Tshark gzip automatisch erkennen können. Aber wenn ich das pcap damit aufmache:

Code: Alles auswählen

Content-encoded entity body (gzip): 9312 bytes [Error: Decompression failed].

:-/

[dufty2]

Laut Doku soll Tshark gzip automatisch erkennen können.

Damit ist wohl eher das "infile" (-r ) gemeint.
Probiert mal
$ tshark -o http.decompress_body:TRUE ...

[Krull]

Bingo, das hat gefehlt. Danke!

Ich hab diese Option jetzt in ~/.wireshark/preferences dauerhat aktiviert. Das scheint bei unkomprimierten Daten auch nicht zu stören.