ORR2013 - Bewertungsphase

OpenRheinRuhr 2013
Ein Pott voll Software

Speakers
Martin Kaiser
Schedule
Day 09.11.2013 - 2013-11-09
Room Vortragsraum 2
Start time 17:00
Duration 01:00
Info
ID 235
Event type Lecture
Track Enduser
Language used for presentation German

Wireshark ohne Netzwerk

Anwendungsmöglichkeiten und Erweiterungen

Fast jeder hat Wireshark schon genutzt, um Netzwerktraffic mitzuschneiden.

Die vielfältigen Möglichkeiten der Darstellung und Filterung sind auch für andere Protokolldaten interessant. Dieser Vortrag zeigt anhand von Beispielen, welche Kommunikationsprotokolle außer TCP/IP sich mit Wireshark noch analysieren lassen und wie man die entsprechenden Daten für Wireshark lesbar macht.

Zum Schluss gibt es noch eine kurze Einführung, wie man ein neues Protokoll implementiert.

Der Aufbau des Vortrags könnte ungefähr so aussehen:

  • Grundlegende Funktionen

    • GUI-Oberfläche
    • Überblick über die Kommandozeilen-Tools
  • Architektur

    • Wie arbeitet Wireshark? Aus welchen Komponenten besteht es?
  • Konfigurationsmöglichkeiten

    • "Wireshark muss nicht als Root laufen"
    • Display Filter, Capture Filter
    • Columns, Preferences, Coloring rules, ...
  • Anwendungsbeispiele

    • USB-Daten mitloggen und analysieren
      • USB Krytotoken mit integrierter Smartcard
    • I2C-Bus, HDCP: Verschlüsselung über HDMI-Kabel
    • Sendersuchlauf beim digitalen Fernsehen
    • Pay-TV über PCMCIA-Karte
    • Kommunikation zwischen SIM-Karte und Mobiltelefon
  • Wie kann ich Daten solcher Protokolle in Wireshark einlesen?

    • direkt über libpcap etc (für USB)
    • Hardware spuckt byteweise Daten aus -> Textdatei ins PCAP-Format umwandeln
    • Einpacken der geloggten Daten in UDP-Pakete
    • Schreiben von PCAP-Paketen in eine named pipe
    • Extcap-Erweiterung, die all das vereinfachen wird (geplant für die nächste Wireshark-Version)
  • Wie kann ich wireshark erweitern?

    • Interface zu Lua, mit dem GUI-Elemente und Protokolle testweise implementiert werden können
    • Unterstützung für ein neues Protokoll
    • Unterstützung für ein neues Dateiformat
  • Fragen, Diskussion