Ich versuche mich gerade ein wenig an Traffic-Analyse per WinPcap. Immer den transparenten Proxy zu verwenden oder per Wireshark auszuwerten ist auf Dauer nervig, mir schwebt so etwas wie das Proxomitron-Log-Fenster vor.

Die WinPcap-API ist an sich ja einfach, entsprechend hatte ich auch keine Probleme, Importe zu definieren und kann Datenverkehr auf gewähltem Interface beobachten. Dann IP-Pakete anschauen, TCP-Packete erkennen, mehrere zusammengehörende zu cachen, und auf das PSH hin in den nächsten Verarbeitungsschritt zu gehen (inklusive HTTP anhand des Ports und Anfangsbytes erkennen), das geht alles. Auch perstistent HTTP connections auseinanderpflücken ist ja nicht das Ding.

Nur mit dem Zusammensetzen der TCP-Pakete bin ich noch nicht so ganz vertraut. Ich habe mal vesucht, den TCP-Header diesbezüglich zu verstehen, indem ich mit Wireshark eine Kommunikation verfolgt habe, bin mir aber unsicher, wie ich das zuverlässig zusammensetze.

Gibt's da ne leicht verständliche "Anleitung" oder Dokumentation zu? Ich hatte jetzt schon mehrfach die Situation, daß ich dachte, anhand SYN, Sequence Number und Acknowledgment Number die richtige Ordnung gefunden zu haben, aber irgendwo hängts noch, und vielleicht hat's ja schonmal jemand hier durchgekaut und kann mir netterweise Zeit mt ein paar Tipps ersparen ersparen