Wiresharkを使用してHTTPビデオストリームをキャプチャし、次のフィルターを使用して関連するGETリクエストをフィルターで除外しました。
http.request.uri contains "identifier" && http.request.method == "GET" && ip.addr == xxx.xxx.xxx.xxx
すべてのgetURLを抽出して.txtファイルを分離することは可能ですか?
または、上記のフィルターに一致する生の応答パケット(ヘッダーなし)を抽出してファイルを分離し、最終的に多数の個別のビデオファイルを作成することは可能ですか?
私は自分自身を十分に明確にしたことを願っています;-)
ありがとうございました
これは Wireshark で実行できる場合がありますが、 Broを使用すると桁違いに簡単です。
トレース ファイルを使用して実行するだけです。
bro -r <trace>
この呼び出しにより、現在のディレクトリに一連のログ ファイルが生成されます。あなたが興味を持っているのは ですhttp.log。出力をフィルタリングして、GET 要求のみを取得できます。
bro-cut id.orig_h id.resp_h method host uri < http.log | awk '$3 == "GET"'
出力例:
192.168.1.104 212.96.161.238 GET update.avg.com /softw/90/update/avg9infowin.ctf
192.168.1.104 77.67.44.206 GET backup.avg.cz /softw/90/update/u7avi1777u1705ff.bin
192.168.1.104 198.189.255.75 GET aa.avg.com /softw/90/update/u7iavi2511u2510ff.bin
192.168.1.104 77.67.44.206 GET backup.avg.cz /softw/90/update/x8xplsb2_118c8.bin
ご覧のとおり、最後の 2 つの列が完全な URL を構成しています。間のスペースを削除するには、awk を使用して最後の 2 つのフィールドを連結します。
注: 今後の Bro 2.1 リリースでは、ファイル抽出が大幅に改善されます。それまでは、保存するファイルの MIME タイプを指定することで、HTTP ストリームからすべてのファイルを抽出できます。
bro -r <trace> 'HTTP::extract_file_type = /video\/avi/'
Bro は HTTP 本文の MIME タイプをスニッフィングし/video\/avi/、それが正規表現と一致する場合、接頭辞を付けたファイルを作成しますhttp-item。HTTP::extraction_prefix変数を再定義することで、プレフィックス名を変更できます。
質問 1 の解決策:-
tshark ユーティリティを使用します。インストールは簡単、「sudo apt-get install tshark」だけ
私が同じために使用するコマンドは次のとおりです:-
tshark -R 'tcp.port==80 && (http.request.method == "GET" || http.request.method=="HEAD" || http.request.method=="POST" )' -r eth2uplink_00001 -Tfields -e ip.dst -e http.request.method -e http.request.full_uri > requests_eth2_00001
ここですべての Wireshark 表示フィルタを参照してください:- https://www.wireshark.org/docs/dfref/
これは、Bro を使用するよりもはるかに優れたアプローチです。なぜなら、Bro は特定の依存関係があり、ほとんど満たすことができないため、インストールが非常に複雑だからです。
現在、質問 2 の解決策はありませんが、同様の方法で何かを構築できると思います。次のオプションは、あなたがしようとしていることに役立つかもしれません。
-O これらのプロトコルのパケットの詳細のみをコンマ区切りで表示
-x 16 進および ASCII ダンプ (パケット バイト) の出力を追加します 。詳細については、tshark --help を参照してください。
お役に立てれば。ありがとう。