snort-users November 2009 archive
Main Archive Page > Month Archives  > snort-users archives
snort-users: [Snort-users] http content-encoding: gzip

[Snort-users] http content-encoding: gzip

From: Adam Szabo <adamx001_at_nospam>
Date: Sat Nov 14 2009 - 13:28:53 GMT
To: snort-users@lists.sourceforge.net


Hello,

Do you know how to 'decrypt' a TCP packet with gzip content-encoding in the payload?
For example if i visit google.com, Snort captures a TCP packet with this in the payload:

length = 1418
>
> 000 : 48 54 54 50 2F 31 2E 31 20 32 30 30 20 4F 4B 0D HTTP/1.1 200 OK.
>
> 010 : 0A 45 78 70 69 72 65 73 3A 20 46 72 69 2C 20 31 .Expires: Fri, 1
> 020 : 32 20 4E 6F 76 20 32 30 31 30 20 30 30 3A 30 30 2 Nov 2010 00:00
> 030 : 3A 30 30 20 47 4D 54 0D 0A 4C 61 73 74 2D 4D 6F :00 GMT..Last-Mo
>
> 040 : 64 69 66 69 65 64 3A 20 46 72 69 2C 20 31 34 20 dified: Fri, 14
> 050 : 4E 6F 76 20 32 30 30 38 20 30 30 3A 30 30 3A 30 Nov 2008 00:00:0
> 060 : 30 20 47 4D 54 0D 0A 43 6F 6E 74 65 6E 74 2D 54 0 GMT..Content-T
>
> 070 : 79 70 65 3A 20 74 65 78 74 2F 68 74 6D 6C 3B 20 ype: text/html;
> 080 : 63 68 61 72 73 65 74 3D 55 54 46 2D 38 0D 0A 43 charset=UTF-8..C
> 090 : 6F 6E 74 65 6E 74 2D 45 6E 63 6F 64 69 6E 67 3A ontent-Encoding:
>
> 0a0 : 20 67 7A 69 70 0D 0A 44 61 74 65 3A 20 46 72 69 gzip..Date: Fri
> 0b0 : 2C 20 31 33 20 4E 6F 76 20 32 30 30 39 20 31 32 , 13 Nov 2009 12
> 0c0 : 3A 32 30 3A 32 37 20 47 4D 54 0D 0A 53 65 72 76 :20:27 GMT..Serv
>
> 0d0 : 65 72 3A 20 67 77 73 0D 0A 43 61 63 68 65 2D 43 er: gws..Cache-C
> 0e0 : 6F 6E 74 72 6F 6C 3A 20 70 72 69 76 61 74 65 2C ontrol: private,
> 0f0 : 20 78 2D 67 7A 69 70 2D 6F 6B 3D 22 22 0D 0A 43 x-gzip-ok=""..C
>
> 100 : 6F 6E 74 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 33 ontent-Length: 3
> 110 : 31 31 37 0D 0A 58 2D 58 53 53 2D 50 72 6F 74 65 117..X-XSS-Prote
> 120 : 63 74 69 6F 6E 3A 20 30 0D 0A 0D 0A 1F 8B 08 00 ction: 0........
>
> 130 : 00 00 00 00 02 FF E5 5A DD 6E DB 38 16 7E 15 4E .......Z.n.8.~.N
> 140 : 83 41 52 C0 56 64 3B 71 1C BB CD 60 7F 66 3B C0 .AR.Vd;q...` f;.
> 150 : 60 E7 66 BA D8 8B ED A2 A0 24 CA 62 4D FD 54 A4 `.f......$.bM.T.
>
> 160 : ED 24 46 1E 62 1E A1 97 B9 98 8B C5 00 F3 02 46 .$F.b..........F
> 170 : DF 6B CF 21 45 89 92 E5 49 3A 58 2C 16 58 04 95 .k.!E...I:X,.X..
> 180 : 29 F2 F0 F0 E3 E1 F9 A5 BA A1 25 F9 C0 C8 6B B2 ).........%...k.
>
> 190 : CC F3 A5 60 DE 87 C5 06 7A A2 12 7A 7C DD 8C 0B ...`....z..z|...
> 1a0 : 68 9E CE 26 F1 65 CC FC AB F8 22 9E FA 17 E1 E5 h..&.e....".....
> 1b0 : A9 1E 7B 2F F2 10 47 AB 37 29 F5 AC 0F CC A3 E1 ..{/..G.7)......
>
> 1c0 : D9 2E 94 72 7E FA EE 76 12 4A 75 27 18 34 58 90 ...r~..v.Ju'.4X.
> 1d0 : 47 77 BB 80 86 AB 65 99 AF B3 68 7E 12 C7 F1 22 Gw....e...h~..."
> 1e0 : CC 45 5E CE 4F 7C DF 5F A4 B4 5C F2 6C 3E 29 6E .E^.O|._..\.l>)n
>
> 1f0 : C9 AC B8 7D 38 59 06 B4 DC C5 22 A7 6A 2E 58 AC ...}8Y....".j.X.
> 200 : 16 09 E3 CB 44 CD C7 63 18 F4 96 41 32 80 47 B4 ....D..c...A2.G.
> 210 : 0B F2 32 62 E5 50 E5 C5 7C 04 33 65 2E 78 44 4E ..2b.P..|.3e.xDN
>
> 220 : C2 EB E8 2A 1E 2D E2 3C 53 43 C9 EF 19 8E E9 49 ...*.-.<SC.....I
> 230 : BB 8A 8B BF 28 72 C9 15 CF B3 39 0D 60 D2 5A B1 ....(r....9.`.Z.
> 240 : 05 F2 18 5F 14 B7 8B 2D 8F 54 32 1F F9 FE D7 88 ..._...-.T2.....
>
> 250 : 82 0F E0 B1 C4 87 C4 47 7A B0 07 44 D7 CF 90 DD .......Gz..D....
> 260 : AA 21 15 7C 99 99 1D 6C B8 E4 01 17 5C DD CD 13 .!.|...l....\...
> 270 : 1E 45 2C 5B DC 0F 79 16 B1 5B 5C CB 6F AF 95 56 .E,[..y..[\.o..V
>
> 280 : 3B 6B 76 B5 A8 B6 5A 89 CC 6C 91 9C 4C A6 61 F5 ;kv...Z..l..L.a.
> 290 : A0 E3 80 B2 2B 97 E7 08 78 AE 25 2B 77 05 8D 22 ....+...x.%+w.."
> 2a0 : 9E 2D 87 41 AE 54 9E CE AF 80 E7 57 3C 2D F2 52 .-.A.T.....W<-.R
>
> 2b0 : D1 4C B9 38 4B 94 8E 91 FD A0 9A EB 08 11 CE 66 .L.8K..........f
> 2c0 : 61 59 59 89 37 7C 50 C0 23 3C 95 C9 EE 3E 87 55 aYY.7|P.#<...>.U
> 2d0 : 46 D5 91 0E 35 D3 B9 77 C9 52 24 19 EF 22 2E 0B F...5..w.R$.."..
>
> 2e0 : 41 EF E6 01 28 D0 CA 32 9C 7B 63 96 12 4D 44 35 A...(..2.{c..MD5
> 2f0 : 23 7C 8E F5 73 A2 9F 17 BB 5A 59 C2 CE AA 63 B3 #|..s....ZY...c.
> 300 : AA DE 47 C4 C2 BC A4 FA 20 B2 3C 63 9A D9 78 9E ..G..... .<c..x.
>
> 310 : E4 1B D8 8A 7B 72 20 32 AB 7D 70 88 2E C3 C3 E5 ....{r 2.}p.....
> 320 : 3D C1 B3 95 5D 7E EC 87 EE EA 4A EE 9A 83 11 B4 =...]~....J.....
> 330 : 90 6C 6E 1B 38 48 54 64 A5 3F F7 A1 83 0F BC 40 .ln.8HTd.?.....@
>
> 340 : 0C E2 BC 4C 07 27 25 93 24 99 D4 E2 E0 19 2C 83 ...L.'%.$.....,.
> 350 : 93 78 A7 6B A8 68 20 60 20 16 73 04 02 9B 15 F8 .x.k.h ` .s.....
> 360 : 8F D0 B9 8B EB EA 2A 7C A0 15 C1 76 70 52 94 12 ......*|...vpR..
>
> 370 : 08 50 E5 14 8B EC 2B 0D 15 DF B0 81 F7 D1 69 55 .P....+.......iU
> 380 : 24 CE F6 1E BC 34 40 3E F5 6C DA 25 BA BC 1C D1 $....4@>.l.%....
> 390 : 59 F0 60 19 56 DD 25 8B 1E BC 70 5D 5A 2A 7A ED Y.`.V.%...p]Z*z.
>
> 3a0 : 53 7F 66 AC 70 6B EC 2E C8 05 D0 04 BB C3 BE 0F S f.pk..........
> 3b0 : 3B 63 76 17 A0 06 8E E1 CE C6 5F 3F 78 72 97 D2 ;cv......._?xr..
> 3c0 : DB 61 33 0E 3D 62 D7 A6 01 95 DD 75 F5 B8 56 2D .a3.=b.....u..V-
>
> 3d0 : D4 53 9F 80 D6 5B 27 03 27 91 C0 B9 1C 58 6C 65 .S...['.'....Xle
> 3e0 : F9 40 58 F9 09 6C A2 A6 0F D1 42 01 18 AA 11 F8 .@X..l....B.....
> 3f0 : A4 6D 65 C0 70 26 03 2F 1D 78 21 49 C6 83 93 34 .me.p&./.x!I...4
>
> 400 : F8 36 8B A0 65 F7 3F BD C2 BF 07 8F 0E 42 10 1E .6..e.?......B..
> 410 : 50 D5 4F F7 E0 96 25 03 4F 60 76 83 BE 12 D4 B6 P.O...%.O`v.....
> 420 : 4C A9 78 30 EC 2A 0F 68 EC 32 19 0D 72 B1 B3 7B L.x0.*.h.2..r..{
>
> 430 : 58 34 7A 25 B8 B7 1C A0 83 1D 24 2A 05 E5 90 2A X4z%......$*...*
> 440 : EA 82 1A 24 23 47 64 12 56 10 66 D1 98 A6 5C DC ...$#Gd.V.f...\.
> 450 : CD 69 C9 A9 18 48 9A C9 21 58 3D 8F 1F 8E CD AF .i...H..!X=.....
>
> 460 : 4E CD A2 94 32 80 A5 04 1C BA 60 B4 84 C3 54 49 N...2.....`...TI
> 470 : 2D 65 E3 C8 33 BA 21 74 60 7E 6A 95 02 2B 58 11 -e..3.!t`~j..+X.
> 480 : DA 98 B4 5F D1 B5 9D 83 E9 F4 02 3B 1F 5B 7D 0A ..._.......;.[}.
>
> 490 : 6B 06 F9 93 8A 17 22 58 29 5D 47 B0 2E C5 D9 39 k....."X)]G....9
> 4a0 : 4F E9 92 C9 73 E0 02 41 6D 99 5F 79 45 B6 7C 49 O...s..Am._yE.|I
> 4b0 : B2 7C 58 B2 82 51 05 CA E3 D7 F1 67 0A 2A D1 06 .|X..Q.....g.*..
>
> 4c0 : D9 E6 38 AC D5 CA 27 C3 D9 0C 5D E6 81 9E 55 21 ..8...'...]...U!
> 4d0 : 03 35 0B 54 31 2C A4 8D 4B 23 A4 EF 28 99 D5 CA .5.T1,..K#..(...
> 4e0 : D1 05 06 B1 34 E0 95 A5 68 77 6C E7 61 BB 0F C3 ....4...hwl.a...
>
> 4f0 : F0 1A 95 7F 78 75 E1 E2 28 99 A0 68 B7 26 E4 D5 ... xu..(..h.&..
> 500 : 66 51 39 EA 89 3D 34 D7 75 B9 41 22 64 99 62 E5 fQ9..=4.u.A"d.b.
> 510 : C3 09 8A AA E3 CC BB D0 0F 97 B4 C1 D5 01 3F 71 ..............?q
>
> 520 : 2C 73 54 DB AA E1 4F 78 BA B4 A1 10 FD F9 31 61 ,sT...Ox......1a
> 530 : 0E 7D 6B A9 78 40 D5 5C 59 D0 0C 94 33 D9 81 53 .}k.x@.\Y...3..S
> 540 : 92 A0 18 45 CE 35 72 4F 48 B5 FB 2D E5 77 33 07 ...E.5rOH..-.w3.
>
> 550 : 04 07 BB 52 3C A4 A2 12 40 0A 9B 43 87 2C 64 F0 ...R<...@..C.,d.
> 560 : 6C 36 97 CE 61 79 33 08 73 47 98 26 10 6E 52 D0 l6..ay3.sG.&.nR.
> 570 : EE 66 2A BC F1 75 BA 38 34 BE C6 01 38 7E 8D 59 .f*..u.84...8~.Y
>
> 580 : FF E0 5D C1 22 04 7A 82 B0 36 ..].".z..6
>
>

So i can see the first part, but then it turns into a mess, i guess this is the compressed data.
Can you help me how to decode it? I tried searching on the internet for help, but i got nothing.

Thank you in advance,
Adam Szabo



Let Crystal Reports handle the reporting - Free Crystal Reports 2008 30-Day trial. Simplify your report design, integration and deployment - and focus on what you do best, core application coding. Discover what's new with Crystal Reports now. http://p.sf.net/sfu/bobj-july



Snort-users mailing list
Snort-users@lists.sourceforge.net
Go to this URL to change user options or unsubscribe: https://lists.sourceforge.net/lists/listinfo/snort-users Snort-users list archive:
http://www.geocrawler.com/redir-sf.php3?list=snort-users