如何在 WireShark 中解码 DCE RPC 存根数据

如何在 WireShark 中解码 DCE RPC 存根数据

我需要比较连接到远程服务器的 2 个 OPC DA 客户端的连接会话。它们在底层使用 DCOM 和 DCE RPC。幸运的是,WireShark 提供了dcerpc解析器,但它不会解码存根数据。 在此处输入图片描述

答案1

我不这么认为. NDR(DCE RPC 使用的数据格式)不是“自描述​​的”——有效载荷中没有任何东西可以区分 int32、float 和 uint8[4]。这意味着 Wireshark 需要一个特定的子解析器来每个接口它需要解剖(例如,它具有针对各种 Active Directory MS-RPC 接口的单独解剖器),通过查看“绑定”数据包中的 UUID 来识别它们。

在这种情况下,虽然Wireshark对IOXIDResolver有一个部分解析器(数据包-dcom-oxid.c),它仅支持剖析回复RPC opnum 5(显然是“ServerAlive2”)但不是请求,因此它将剩余的有效负载保留为原始数据。

相关内容