是否可以删除/更改用 Wireshark 捕获的包?
我的情况:我捕获了一些包并想将它们发送给其他人。问题是,其中一个包包含用户名和密码。我不想将密码发送给其他人。如果我可以用另一个密码替换该密码就好了。
我可以使用十六进制编辑器来覆盖文件中的字节,但是有没有更简单的方法呢?
答案1
不,我担心没有算法能够知道你的数据包捕获中哪些是个人信息,哪些不是。
就我个人而言,我会创建一个安全握手的捕获,它不会暴露任何你真正关心的数据。也许可以创建一组一次性的凭证仅用于此目的。否则,你必须按照你的建议编辑捕获本身。如果你知道编码类型,那么应该很容易识别你的个人数据的十六进制。
答案2
从 Wireshark 跟踪中删除密码的一个简单方法是删除包含密码的数据包。大多数情况下,查看跟踪的是人,而不是计算机,因此您可以告诉他们缺少几个数据包。如果他们确实需要该数据包,您可以将其复制为文本,然后发送编辑后的版本。
以下是删除包含密码的数据包的方法:
- 如果需要,应用显示过滤器来减少噪音。例如,我
ldap在过滤器框中使用了它。 - 识别包含密码的数据包。您将需要帧号。
- 将显示过滤器替换为
!(frame.number == 6143)。替换6143为您的帧编号。 - 在“文件”菜单中,选择“导出指定的数据包...”
- 在“数据包范围”部分中,选择“全部”和“显示”
- 以新名称保存捕获文件。
注意事项:
- 如果对方说“看第 7000 帧”,您必须记住使用无密码的文件,因为数字不会完全对齐。
- 可能有多个密码,您需要自己查找并删除它们。
- 这会在某种程度上混淆 Wireshark 解析,可能是因为缺少 tcp 序列号。
- 突然看到有效的身份验证响应可能会让人感到困惑。
