# Wireshark und Content-Encoding: gzip



## Romeo-G (25. November 2007)

Hey,
ich möchte den Quelltext einer Seite im Klartext sehen, der mit gzip verschlüsselt/komprimiert ist. Wie kann ich das in Wireshark anstellen?

Zum Test folgende Datei:
http://wiki.wireshark.org/SampleCaptures?action=AttachFile&do=get&target=http_gzip.cap

Wenn ich die Datei in Wireshark öffne und auf "Follow TCP Stream" klicke, dann sehe ich das Folgende:

GET /test/ethereal.html HTTP/1.1
Host: cerberus
User-Agent: Mozilla/5.0 (X11; U; Linux ppc; rv:1.7.3) Gecko/20041004 Firefox/0.10.1
Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Cookie: FGNCLIID=05c04axp1yaqynldtcdiwis0ag1

HTTP/1.1 200 OK
Date: Fri, 29 Oct 2004 05:21:00 GMT
Server: Apache/2.0.50 (Fedora)
Last-Modified: Fri, 29 Oct 2004 05:20:21 GMT
ETag: "126e1f-6d-371b2f40"
Accept-Ranges: bytes
Vary: Accept-Encoding
Content-Encoding: gzip
Content-Length: 92
Connection: close
Content-Type: text/html; charset=UTF-8

............(......HML....).,.I.s-.H-JM.Qp.H.-.IU.HLO...Hr..CT.$..T.5qbU.4L.....l....n.Cm...


Wie kriege ich das jetzt entschlüsselt/dekomprimiert?

Grüße,
Michael


----------



## Dolphon (3. September 2009)

Das Thema ist zwar schon relativ alt, aber ich stehe vor dem selben Problem. 
Gibt es mittlerweile eine Lösung dazu?

z.B


```
Content-Type: text/html;charset=utf-8
Transfer-Encoding: chunked
Content-Encoding: gzip
Vary: Accept-Encoding
Date: Thu, 03 Sep 2009 10:43:23 GMT

a
..........
200
.ZmS....,...l..U.....@."..^...35.....^C:........tw...2...^fTH.>o}^..P*.J..^....:.+....M......H..`...j..z..@.>.....
...x..#2e..9|." .9h.F...4|....@.H.%.lta7H..=?<../..!....5.....7dZ3/dZ....i..!..y].....P......#.Q.I*..So-.V;==;.,.|....o..I.P..../."..?P.!.....jy.......b..,.....O....!W.O..B:R.pt.?j_.l<Q....:k]...8.m'!O'..{Q.......J...:...!..A./......!...)......ek..=.......... kBa.6...Zc.Tz..Xq....N....Yf..bO.^M.!V.v.....r.i8:....."}.b.`a.W.\.V......>.!.!....FI..4..W...>|+..B.+..!...J.{.#.J..Q.^..S.
.........H..
200
.R9....f.....v.Q..nb...N.d....3.[.M..Y......Dt.3..|v`......+...^W.,...<.S'..dC.........pH.B..t....6.|.....H..}.... .g..4 J...,......:.Z.au...F.

....
....
....
```


----------



## Matthias Reitinger (3. September 2009)

Hallo,

du musst einfach nur das entsprechende Paket in der Paketliste auswählen und dann unten bei den Paketdetails das Feld „Line-based text data“ ausklappen. Oder ganz unten in der Frame-Ansicht „Uncompressed entity body“ auswählen.

Grüße, Matthias


----------



## Mastika (13. Oktober 2009)

Matthias Reitinger hat gesagt.:


> Hallo,
> 
> du musst einfach nur das entsprechende Paket in der Paketliste auswählen und dann unten bei den Paketdetails das Feld „Line-based text data“ ausklappen. Oder ganz unten in der Frame-Ansicht „Uncompressed entity body“ auswählen.
> 
> Grüße, Matthias




Hallo,

das Thema ist echt mal alt...
Kann das hier jemand vielleicht etwas näher Erläutern? Ich habe nämlich genau das selbe Anliegen wie Romeo-G und Dolphon

MfG
Mastika

P.S. Ich arbeite (versuche) mit Wireshark neuste version. Die Sachen was Matthias beschreibt finde ich nicht.


----------



## Matthias Reitinger (13. Oktober 2009)

Mastika hat gesagt.:


> P.S. Ich arbeite (versuche) mit Wireshark neuste version. Die Sachen was Matthias beschreibt finde ich nicht.


In der aktuellen Version 1.2.2 geht das immer noch genau so. Das HTTP-Paket auswählen (in der Spalte Info sollte „HTTP/1.1 200 OK  (text/html)“ o.ä. stehen). Bei den Packet Details sollte dann eine Zeile namens „Line-based text data: text/html“ zu finden sein, die sich ausklappen lässt. Darin findet sich der unkomprimierte Datenstrom. Alternativ gibt es bei den Packet Bytes die Reiter „Frame“, „Reassembled TCP“, „De-chunked entity body“ und „Uncompressed entity body“. Hinter dem letzten Reiter verbirgt sich wiederum der unkomprimierte Inhalt. Im Anhang findet ihr auch noch ein Bildchen dazu.

Grüße, Matthias


----------

