Полная реконструкция сеанса TCP (HTML-страницы) из pcaps WireShark, любые инструменты для этого?

Интересно, есть ли способ в wirehark для восстановления полного сеанса TCP (HTML-страницы (ы)), если у нас есть wirehark pcaps, может ли проводка сделать реконструкцию? или есть ли какой-нибудь инструмент вокруг, который может сделать реконструкцию? Данные, передаваемые из источника, могут быть сжаты (Gzip) или несжаты, а конечный результат восстановления должен быть допустимой полной HTML-страницей со всем ее содержимым.

Ответ 1

Используйте justniffer-grab-http-traffic. Он основан на justniffer и является отличным инструментом для восстановления tcp-потоков.

Ответ 2

Вы также можете использовать Bro, если вы предпочитаете интерфейс командной строки. Просто загрузите его с помощью contents script:

bro -r trace.pcap -f 'port 80' contents

(Вы можете пропустить необязательное выражение фильтра BPF -f port 80.) Это извлекает полный поток TCP и записывает его в файлы формы:

contents.<sourceIP>.<sourcePORT>-<destinationIP>.<destinationPORT>

Как упоминается христианин , сборка очень надежна и тщательно протестирована.

Ответ 3

TCPTrace имеет для этого опцию (-e):

Извлечение: можно использовать опцию -e для извлечения содержимого (данные TCP полезной нагрузки) каждого соединения в отдельный файл данных.

Например,

Белуга:/Пользователи/mani > tcptrace -e albus.dmp

генерирует файлы a2b_contents.dat, b2a_contents.dat; c2d_contents.dat, d2c_contents.dat, если файл albus.dmp имеет 2 прослеживаемых TCP-соединения. tcptrace довольно умен в создании этих содержимое файлов. Он не фиксирует тривиальные ошибки, такие как сохранение повторных передач в несколько раз файл, например, и знает обертывание пространства окружения. Однако, если вы хотите, чтобы все содержимое трафика, убедитесь, что пакеты захватываются полностью (дайте подходящее значение snaplen с tcpdump например).

Ответ 4

В зависимости от того, какую версию Wireshark у вас есть, вы должны сделать что-то в соответствии с:

  • Отфильтруйте сеанс, о котором вы заботитесь
  • Удалить файл- > Экспорт- > Объекты- > Http
  • Выберите папку.

Есть ли что-то еще, что вам нужно... это, похоже, делает декомпрессию gzip и т.д.... не будет работать, если вы используете SSL (он МОЖЕТ быть в состоянии, если вы можете получить соответствующие ключи для создания SSL декодировать работу, но это становится сложнее, и я предлагаю попробовать скрипач в этом случае)

НТН

Ответ 5

Я предлагаю tcpflow полнофункциональный регенератор сеанса tcp/ip. Он очень быстрый, будет обрабатывать очень большие сеансы, автоматически распаковывает соединения gzip'ed, автоматически разрывает объекты MIME, отправленные HTTP, создает XML файл, что он сделал, работает на MacOS, Linux и Windows и т.д. Это инструмент командной строки.