10

我想知道如果我们有wireshark pcaps,wireshark是否有办法重建一个完整的TCP会话(HTML页面),wireshark可以重建吗?或者周围有什么工具可以进行重建?从源流式传输的数据可以是压缩的(Gzip)或未压缩的,重建的最终结果应该是一个有效的完整 HTML 页面及其所有内容。

4

5 回答 5

4

如果您喜欢命令行界面,也可以使用Bro 。只需使用contents脚本加载它:

bro -r trace.pcap -f 'port 80' contents

(您可以跳过可选的 BPF 过滤器表达式-f port 80。)这会提取完整的 TCP 流并将其写入以下形式的文件:

contents.<sourceIP>.<sourcePORT>-<destinationIP>.<destinationPORT>

正如克里斯蒂安所提到的,重新组装非常坚固,并且经过了彻底的测试。

于 2011-08-19T18:01:06.293 回答
3

TCPTrace 对此有一个选项 (-e):

提取:-e 选项可用于将每个连接的内容(TCP 数据负载)提取到单独的数据文件中。

例如,

Beluga:/Users/mani> tcptrace -e albus.dmp

生成文件 a2b_contents.dat、b2a_contents.dat;c2d_contents.dat, d2c_contents.dat 如果文件 albus.dmp 有 2 个跟踪的 TCP 连接。tcptrace 在生成这些内容文件方面非常聪明。它不会犯一些琐碎的错误,例如在文件中多次保存重传,并且知道序列空间环绕。但是,如果您想要流量的全部内容,请确保完整捕获数据包(例如,使用 tcpdump 提供合适的 snaplen 值)。

于 2011-06-07T17:34:24.420 回答
3

根据您拥有的 Wireshark 版本,您应该能够执行以下操作:

  1. 过滤掉你关心的会话
  2. 执行文件->导出->对象->Http
  3. 选择一个文件夹。

您还需要什么...这似乎可以进行gzip解压缩等...如果您正在运行SSL,它将无法工作(如果您可以获得适当的密钥以使SSL解码工作,它可能会起作用,但这变得更加棘手,我建议在这种情况下尝试提琴手)

高温高压

于 2011-06-07T23:45:53.227 回答
2

I suggest tcpflow, a full-featured tcp/ip session reconstructor. It is very fast, will handle very large sessions, automatically decompresses gzip'ed connections, automatically breaks out MIME objects sent by HTTP, creates an XML file of what it's done, runs on MacOS, Linux and Windows, and more. It's a command-line tool.

于 2013-04-17T01:43:23.753 回答
1

Use justniffer-grab-http-traffic .It is based on justniffer and it is an excellent tool for rebuilding tcp streams.

于 2012-08-29T21:47:04.293 回答