Hallo, kennt jemand ein einfaches Tool, um z.B. alle http request header zu extrahieren Ziel ist ein Überblick, wie viele Shellshock Angriffe so im Lauf des Tages auf einem Webserver auflaufen, und wie die genau aussehen Wireshark müsste das im Prinzip können, aber die Datenmengen sind für eine interaktive Untersuchung einfach zu groß Vielen Dank für Anregungen Wolfgang Hamann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo, Am Mon, 27 Oct 2014, hamann.w@t-online.de schrieb:
kennt jemand ein einfaches Tool, um z.B. alle http request header zu extrahieren Ziel ist ein Überblick, wie viele Shellshock Angriffe so im Lauf des Tages auf einem Webserver auflaufen, und wie die genau aussehen
Wireshark müsste das im Prinzip können, aber die Datenmengen sind für eine interaktive Untersuchung einfach zu groß
man tcpdump (Option '-r'). Oder in Wireshark passender filtern. -dnh -- Körperverletzung kann bei Sahne auch durch längeres schlagen nicht hervorgerufen werden. Und selbst wenn, das Beweismaterial lässt sich nachher durch Verzehr vernichten. [Woko° in dag°] -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo David, die auszuwertenden Daten sind komplette pcap Mitschnitte eines Webservers, jede Stunde eine Datei.. Auf diesem Server ist keine grafische Oberfläche installiert, also müsste ich für wireshark die Dateien erst mal (per DSL :( Schneckentempo) runterladen. Oder kennt wireshark eine nicht interaktive Arbeitsweise? Wireshark kann tcp Blöcke zu Streams zusammensortieren und liefert damit eine Grundlage zur weiteren Untersuchung. tcpdump kann das so weit ich weiss nicht Deshalb wäre ein Tool schön, das eben aus den pcap Files die Streams extrahiert (aber bitte nicht je Stream eine Datei), damit man das Ergebnis mit perl oder awk weiter auswerten kann Viele Grüsse Wolfgang Hamann
Hallo,
Am Mon, 27 Oct 2014, hamann.w@t-online.de schrieb: kennt jemand ein einfaches Tool, um z.B. alle http request header zu extrahieren Ziel ist ein Überblick, wie viele Shellshock Angriffe so im Lauf des Tages auf einem Webserver auflaufen, und wie die genau aussehen
Wireshark müsste das im Prinzip können, aber die Datenmengen sind für eine interaktive Untersuchung einfach zu groß
man tcpdump (Option '-r'). Oder in Wireshark passender filtern.
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Guten Morgähn, ich hab es zwar noch nie ausprobiert, aber evtl. hilft ja ngrep (http://ngrep.sourceforge.net/ sowie https://en.wikipedia.org/wiki/Ngrep). Gruß Torsten hamann.w@t-online.de schrieb am 27.10.2014 15:19:
Hallo,
kennt jemand ein einfaches Tool, um z.B. alle http request header zu extrahieren Ziel ist ein Überblick, wie viele Shellshock Angriffe so im Lauf des Tages auf einem Webserver auflaufen, und wie die genau aussehen
Wireshark müsste das im Prinzip können, aber die Datenmengen sind für eine interaktive Untersuchung einfach zu groß
Vielen Dank für Anregungen Wolfgang Hamann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo, Am Tue, 28 Oct 2014, hamann.w@t-online.de schrieb:
Deshalb wäre ein Tool schön, das eben aus den pcap Files die Streams extrahiert (aber bitte nicht je Stream eine Datei), damit man das Ergebnis mit perl oder awk weiter auswerten kann
Ich hab da mal was aus dem CPAN gebastelt: http://download.opensuse.org/repositories/home:/dnh:/pcap/ -dnh -- Q: What's the difference between a Used Car SalesPerson and a Computer SalesPerson? A: The Used Car SalesPerson KNOWS when they're lying. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
participants (3)
-
David Haller -
hamann.w@t-online.de -
T. Ermlich