Полная реконструкция TCP сессии (HTML страницы) из WireShark pcaps, какие-либо инструменты для этого?

Интересно, если есть способ в Wireshark, чтобы воссоздать полную TCP-сессии (HTML-страницу(ы)), если у нас есть pcaps помощью Wireshark, можно с помощью Wireshark делать реконструкцию? или есть какой-нибудь инструмент, который может сделать реконструкцию? Данные, поступающие из источника, могут быть сжаты (Gzip) или несжаты, и конечным результатом реконструкции должна быть корректная полная HTML-страница со всем ее содержимым.

640   5  

5 ответов:

Использовать justniffer-захватить-HTTP-трафик .Он основан на justniffer и это отличный инструмент для восстановления потоков TCP.

1  
2012-08-30 00:47:04

Вы также можете использовать Bro, Если предпочитаете интерфейс командной строки. Просто загрузите его с помощью скрипта contents: 

bro -r trace.pcap -f 'port 80' contents

(Вы можете пропустить необязательное выражение фильтра BPF -f port 80.) Это извлекает полный поток TCP и записывает его в файлы вида: 

contents.<sourceIP>.<sourcePORT>-<destinationIP>.<destinationPORT>

Как упоминал Кристиан , Сборка очень надежна и была тщательно протестирована.

4  
2017-05-23 13:33:44

В зависимости от того, какая версия Wireshark у вас есть, вы должны быть в состоянии сделать что-то вроде:

  1. отфильтруйте сеанс, который вас интересует
  2. Do File - > Export - > Objects - >Http
  3. Выберите папку.

Есть ли что-то еще, что вам нужно?.. это, по-видимому, делает декомпрессию gzip и т. д... не будет работать, если вы используете SSL (это может быть в состоянии, если вы можете получить соответствующие ключи, чтобы заставить SSL декодировать работу, но это становится сложнее, и я бы предложите попробовать скрипача в этом случае)

HTH

3  
2011-06-08 02:45:53

TCPTrace имеет опцию (- e) для этого:

Извлечение: можно использовать опцию-e чтобы извлечь содержимое (TCP-данные полезная нагрузка) каждого соединения в отдельный файл данных.

Например,

Beluga: / Users / mani> tcptrace-e Альбус.dmp

Генерирует файлы a2b_contents.дат, b2a_contents.дат; c2d_contents.дат, d2c_contents.dat если файл Альбус.ДМП имел 2 прослеженных TCP соединения. tcptrace довольно умен в генерировании эти содержимое файлов. Он не совершает тривиальные ошибки вроде экономии повторные передачи несколько раз в файл, например, и осознает, что обертывание пространства последовательности. Однако, если вы хотите, чтобы все содержимое трафик, пожалуйста, убедитесь, что пакеты захватываются целиком (дают подходящее значение snaplen с tcpdump например).

3  
2015-06-13 16:19:03

Я предлагаю tcpflow, полнофункциональный восстановитель сеансов tcp/ip. Он очень быстр, обрабатывает очень большие сессии, автоматически распаковывает gzip'Ed соединения, автоматически разбивает MIME-объекты, отправленные по HTTP, создает XML-файл того, что он сделал, работает на MacOS, Linux и Windows и многое другое. Это инструмент командной строки.

2  
2013-04-17 04:43:23

Comments

    Ничего не найдено.
Click here to cancel reply.