2

我已经尝试了几个小时来解决这个问题。谷歌搜索也像个疯子。如何从一堆包中导出 FTP 数据?就像您在 Wireshark 中导出 HTTP 包一样,只需单击几下,您就可以将所有包作为一个单独的包导出到文件中,然后打开 HTML 页面。

假设您下载了一个 .zip 文件(通过 FTP)并且您使用 Wireshark 捕获了它。现在我想将所有包含 .zip 文件的 FTP 数据包导出到 .zip 文件的副本中。我怎样才能做到这一点?我设法得到了包的所有 hexdumps(我认为这就是它的名字),它看起来像这样:

0000  00 50 56 ca 11 d8 00 50 18 03 39 80 08 00 45 00   .PV....P..9...E.
0010  04 34 06 34 40 00 2d 06 d3 6f c1 e7 ec 2a c0 a8   .4.4@.-..o...*..
etc...

也许我可以以某种方式转换它?还是有其他方法?

4

1 回答 1

1

您可以使用Bro从 FTP 流量(以及其他协议)中提取文件。只需按如下方式运行它:

bro -r trace.pcap 'FTP::extract_file_types = /.*/'

该模式控制要提取的文件的 MIME 类型。在网络接口上嗅探时更改-r <trace>为。-i <interface>Bro 在它正在运行的同一目录中创建日志文件。除了基本日志之外,您现在还可以找到名为

ftp-item_<SERVER-IP>:<SERVER-DATA-PORT>-<CLIENT-IP>:<CLIENT-PORT>.dat

其中包含 FTP 数据的有效负载。

于 2012-04-05T18:48:16.940 回答