我编写了 ac# 程序,它在 pcap 文件中查找 facebook 消息。但现在它不起作用。
我的程序寻找
"application/json" and "\"msg\":{\"text\""
ipv4 数据包中的字符串。
但是昨天我注意到不再发送这样的数据包了。现在我可以通过搜索来区分 Facebook 聊天数据包,而不是这些
"/ajax/chat/send.php"
但此字符串仅用于传出消息。对于传入的消息,我找不到任何关键字符串。任何想法?
问问题
994 次
1 回答
1
ipv4 数据包中的应用程序数据(HTTP 聊天数据)可以分片,即单个 ipv4 数据包可能不包含完整的字符串 "application/json" 或 "\"msg\":{\"text\""。
更好的方法是捕获更高级别的 HTTP 流量(由 pcap 预先解析)。这是有关 HTTP 流量嗅探的相关信息 - https://serverfault.com/questions/84750/monitoring-http-traffic-using-tcpdump
通过 HTTP 流量转储,您可以以更一致的方式解析消息,并确保碎片不是问题
于 2011-12-07T02:41:59.833 回答