Wireshark の pcaps がある場合、Wireshark で完全な TCP セッション (HTML ページ) を再構築する方法があるのだろうか? または、再構築を行うことができるツールはありますか?ソースからストリーミングされたデータは、圧縮 (Gzip) または非圧縮である可能性があり、再構築の最終結果は、そのすべてのコンテンツを含む有効な完全な HTML ページである必要があります。
30837 次
5 に答える
4
コマンドライン インターフェイスを使用する場合は、 Broを使用することもできます。contentsスクリプトでロードするだけです:
bro -r trace.pcap -f 'port 80' contents
(オプションの BPF フィルター式はスキップできます-f port 80。) これにより、完全な TCP ストリームが抽出され、次の形式のファイルに書き込まれます。
contents.<sourceIP>.<sourcePORT>-<destinationIP>.<destinationPORT>
Christianが述べたように、再構築は非常に堅牢で、徹底的にテストされています。
于 2011-08-19T18:01:06.293 に答える
3
TCPTraceには、このためのオプション(-e)があります。
抽出:-eオプションを使用して、各接続の内容(TCPデータペイロード)を個別のデータファイルに抽出できます。
例えば、
Beluga:/ Users / mani> tcptrace -e albus.dmp
ファイルa2b_contents.dat、b2a_contents.datを生成します。ファイルalbus.dmpに2つのトレースされたTCP接続がある場合は、c2d_contents.dat、d2c_contents.dat。tcptraceは、これらのコンテンツファイルを生成するのに非常に優れています。たとえば、再送信をファイルに複数回保存するなどの些細な間違いを犯すことはなく、シーケンススペースのラップアラウンドを認識しています。ただし、トラフィックの内容全体が必要な場合は、パケット全体がキャプチャされていることを確認してください(たとえば、tcpdumpで適切なsnaplen値を指定します)。
于 2011-06-07T17:34:24.420 に答える
3
お使いの Wireshark のバージョンに応じて、次のようなことができるはずです。
- 気になるセッションを除外する
- File->Export->Objects->Http を実行します
- フォルダを選択します。
他に必要なものはありますか...これはgzip解凍などを行うようです...SSLを実行している場合は機能しません( SSLデコードを機能させるための適切なキーを取得できれば、できるかもしれません。しかし、それはよりトリッキーになるので、その場合はフィドラーを試すことをお勧めします)
HTH
于 2011-06-07T23:45:53.227 に答える
1
justniffer-grab-http-trafficを使用します。これは justniffer に基づいており、tcp ストリームを再構築するための優れたツールです。
于 2012-08-29T21:47:04.293 に答える