我正在尝试从我的 pcap 文件中重建 tcp 会话,这些文件具有使用 winpcap 捕获的网络数据包。我有一个将数据包拆分为会话的项目。到目前为止,我可以从 pcap 文件中读取数据并根据它们的会话对数据包进行分组。
我想学习的是在这个操作之后我应该做什么。我认为为了从这些会话中获取数据,我必须根据它们的序列号对这些数据包进行排序。我对吗?我是否需要额外的操作来构造 tcp 会话数据。我如何知道哪些数据是图像、html 或 javascript?任何关于良好资源的建议将不胜感激。
顺便说一句,我正在使用 SharpPcap 和Pcap.Net将数据包拆分为 tcp 会话。这些库是否足以重建 tcp 会话?
Pcap.Net已经有一个 HTTP 解析器,如果人们请求它们,它可能会通过更多功能得到增强。
关于 TCP 重建,欢迎您为这个请求的功能投票,我希望在下一个版本中这样做。
TCP 重建并不是那么简单,但是一旦您将数据包分组到 TCP 会话、对它们进行排序并删除重复项,它就会大部分工作。仍然存在需要处理的极端情况,这也取决于您接收数据包的线路的质量。
一旦你有一个重建的流,你可以使用 Pcap.NetHttpDatagram来解析它。
您基本上需要重新实现一个 tcp/ip 堆栈和一个 http 会话解析器。
Tcp 数据包需要重新排序并删除重复/无效。
需要处理这些数据包以识别 http 会话。数据解压和标头处理将让您识别 mime 类型。
Sharppcap 或 pcapdotnet 单独应该为你想做的事情打下基础。因为我是作者,所以我很肯定 Sharppcap 可以。
如果您对已经过单元测试并在其他商业产品中使用的东西感兴趣,我有一个与 Sharppcap 一起工作的商业产品,可以进行 tcp 跟踪和 http 解析,chmorgan@gmail.com。