Интересно, есть ли способ в wirehark для восстановления полного сеанса TCP (HTML-страницы (ы)), если у нас есть wirehark pcaps, может ли проводка сделать реконструкцию? или есть ли какой-нибудь инструмент вокруг, который может сделать реконструкцию? Данные, передаваемые из источника, могут быть сжаты (Gzip) или несжаты, а конечный результат восстановления должен быть допустимой полной HTML-страницей со всем ее содержимым.
Полная реконструкция сеанса TCP (HTML-страницы) из pcaps WireShark, любые инструменты для этого?
Ответ 1
Используйте justniffer-grab-http-traffic. Он основан на justniffer и является отличным инструментом для восстановления tcp-потоков.
Ответ 2
Вы также можете использовать Bro, если вы предпочитаете интерфейс командной строки. Просто загрузите его с помощью contents
script:
bro -r trace.pcap -f 'port 80' contents
(Вы можете пропустить необязательное выражение фильтра BPF -f port 80
.) Это извлекает полный поток TCP и записывает его в файлы формы:
contents.<sourceIP>.<sourcePORT>-<destinationIP>.<destinationPORT>
Как упоминается христианин , сборка очень надежна и тщательно протестирована.
Ответ 3
TCPTrace имеет для этого опцию (-e):
Извлечение: можно использовать опцию -e для извлечения содержимого (данные TCP полезной нагрузки) каждого соединения в отдельный файл данных.
Например,
Белуга:/Пользователи/mani > tcptrace -e albus.dmp
генерирует файлы a2b_contents.dat, b2a_contents.dat; c2d_contents.dat, d2c_contents.dat, если файл albus.dmp имеет 2 прослеживаемых TCP-соединения. tcptrace довольно умен в создании этих содержимое файлов. Он не фиксирует тривиальные ошибки, такие как сохранение повторных передач в несколько раз файл, например, и знает обертывание пространства окружения. Однако, если вы хотите, чтобы все содержимое трафика, убедитесь, что пакеты захватываются полностью (дайте подходящее значение snaplen с tcpdump например).
Ответ 4
В зависимости от того, какую версию Wireshark у вас есть, вы должны сделать что-то в соответствии с:
- Отфильтруйте сеанс, о котором вы заботитесь
- Удалить файл- > Экспорт- > Объекты- > Http
- Выберите папку.
Есть ли что-то еще, что вам нужно... это, похоже, делает декомпрессию gzip и т.д.... не будет работать, если вы используете SSL (он МОЖЕТ быть в состоянии, если вы можете получить соответствующие ключи для создания SSL декодировать работу, но это становится сложнее, и я предлагаю попробовать скрипач в этом случае)
НТН
Ответ 5
Я предлагаю tcpflow полнофункциональный регенератор сеанса tcp/ip. Он очень быстрый, будет обрабатывать очень большие сеансы, автоматически распаковывает соединения gzip'ed, автоматически разрывает объекты MIME, отправленные HTTP, создает XML файл, что он сделал, работает на MacOS, Linux и Windows и т.д. Это инструмент командной строки.