Wireshark und Content-Encoding: gzip

[Romeo-G]

Hey,
ich möchte den Quelltext einer Seite im Klartext sehen, der mit gzip verschlüsselt/komprimiert ist. Wie kann ich das in Wireshark anstellen?

Zum Test folgende Datei:
http://wiki.wireshark.org/SampleCaptures?action=AttachFile&do=get&target=http_gzip.cap

Wenn ich die Datei in Wireshark öffne und auf "Follow TCP Stream" klicke, dann sehe ich das Folgende:

GET /test/ethereal.html HTTP/1.1
Host: cerberus
User-Agent: Mozilla/5.0 (X11; U; Linux ppc; rv:1.7.3) Gecko/20041004 Firefox/0.10.1
Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Cookie: FGNCLIID=05c04axp1yaqynldtcdiwis0ag1

HTTP/1.1 200 OK
Date: Fri, 29 Oct 2004 05:21:00 GMT
Server: Apache/2.0.50 (Fedora)
Last-Modified: Fri, 29 Oct 2004 05:20:21 GMT
ETag: "126e1f-6d-371b2f40"
Accept-Ranges: bytes
Vary: Accept-Encoding
Content-Encoding: gzip
Content-Length: 92
Connection: close
Content-Type: text/html; charset=UTF-8

............(......HML....).,.I.s-.H-JM.Qp.H.-.IU.HLO...Hr..CT.$..T.5qbU.4L.....l....n.Cm...


Wie kriege ich das jetzt entschlüsselt/dekomprimiert?

Grüße,
Michael

 

[Dolphon]

Das Thema ist zwar schon relativ alt, aber ich stehe vor dem selben Problem.
Gibt es mittlerweile eine Lösung dazu?

z.B

Content-Type: text/html;charset=utf-8
Transfer-Encoding: chunked
Content-Encoding: gzip
Vary: Accept-Encoding
Date: Thu, 03 Sep 2009 10:43:23 GMT

a
..........
200
.ZmS....,...l..U.....@."..^...35.....^C:........tw...2...^fTH.>o}^..P*.J..^....:.+....M......H..`...j..z..@.>.....
...x..#2e..9|." .9h.F...4|....@.H.%.lta7H..=?<../..!....5.....7dZ3/dZ....i..!..y].....P......#.Q.I*..So-.V;==;.,.|....o..I.P..../."..?P.!.....jy.......b..,.....O....!W.O..B:R.pt.?j_.l<Q....:k]...8.m'!O'..{Q.......J...:...!..A./......!...)......ek..=.......... kBa.6...Zc.Tz..Xq....N....Yf..bO.^M.!V.v.....r.i8:....."}.b.`a.W.\.V......>.!.!....FI..4..W...>|+..B.+..!...J.{.#.J..Q.^..S.
.........H..
200
.R9....f.....v.Q..nb...N.d....3.[.M..Y......Dt.3..|v`......+...^W.,...<.S'..dC.........pH.B..t....6.|.....H..}.... .g..4 J...,......:.Z.au...F.

....
....
....

 

[Matthias Reitinger]

Hallo,

du musst einfach nur das entsprechende Paket in der Paketliste auswählen und dann unten bei den Paketdetails das Feld „Line-based text data“ ausklappen. Oder ganz unten in der Frame-Ansicht „Uncompressed entity body“ auswählen.

Grüße, Matthias

 

[Mastika]

Hallo,

du musst einfach nur das entsprechende Paket in der Paketliste auswählen und dann unten bei den Paketdetails das Feld „Line-based text data“ ausklappen. Oder ganz unten in der Frame-Ansicht „Uncompressed entity body“ auswählen.

Grüße, Matthias

Hallo,

das Thema ist echt mal alt...
Kann das hier jemand vielleicht etwas näher Erläutern? Ich habe nämlich genau das selbe Anliegen wie Romeo-G und Dolphon

MfG
Mastika

P.S. Ich arbeite (versuche) mit Wireshark neuste version. Die Sachen was Matthias beschreibt finde ich nicht.

 

[Matthias Reitinger]

P.S. Ich arbeite (versuche) mit Wireshark neuste version. Die Sachen was Matthias beschreibt finde ich nicht.

In der aktuellen Version 1.2.2 geht das immer noch genau so. Das HTTP-Paket auswählen (in der Spalte Info sollte „HTTP/1.1 200 OK (text/html)“ o.ä. stehen). Bei den Packet Details sollte dann eine Zeile namens „Line-based text data: text/html“ zu finden sein, die sich ausklappen lässt. Darin findet sich der unkomprimierte Datenstrom. Alternativ gibt es bei den Packet Bytes die Reiter „Frame“, „Reassembled TCP“, „De-chunked entity body“ und „Uncompressed entity body“. Hinter dem letzten Reiter verbirgt sich wiederum der unkomprimierte Inhalt. Im Anhang findet ihr auch noch ein Bildchen dazu.

Grüße, Matthias