winpcap を使用してネットワーク パケットをキャプチャした pcap ファイルから tcp セッションを再構築しようとしています。パケットをセッションに分割するプロジェクトがあります。これまでのところ、pcap ファイルから読み取り、セッションに従ってパケットをグループ化できます。
私が知りたいのは、この手術の後に何をすべきかということです。これらのセッションからデータを取得するには、これらのパケットをシーケンス番号に従って順序付けする必要があると思います。私は正しいですか?TCP セッション データを構築するために追加の操作が必要ですか。どのデータが画像、html、または javascript であるかを知るにはどうすればよいですか? 良いリソースの提案は大歓迎です。
ところで、パケットを tcp セッションに分割するために、SharpPcap とPcap.Netを使用しています。これらのライブラリは tcp セッションの再構築に十分ですか?
Pcap.Netには既に HTTP パーサーがあり、人々が要求すれば、おそらくより多くの機能で強化されるでしょう。
TCP の再構築に関しては、この要求された機能に投票していただければ幸いです。次のバージョンの 1 つで実現したいと考えています。
TCP の再構築はそれほど簡単ではありませんが、パケットを TCP セッションにグループ化し、順序付けして重複を削除すると、ほとんどの場合機能します。パケットを受信する回線の品質にも依存する、処理する必要があるまれなケースがまだあります。
再構築されたストリームを取得したら、Pcap.Net を使用してHttpDatagramそれを解析できます。
基本的に、tcp/ipスタックとhttpセッションパーサーを再実装する必要があります。
Tcpパケットを並べ替えて、重複/無効を削除する必要があります。
これらのパケットは、httpセッションを識別するために処理する必要があります。データの解凍とヘッダー処理により、mimeタイプを識別できます。
Sharppcapまたはpcapdotnetだけでも、やりたいことの基盤として機能するはずです。私は作者なので、sharppcapはポジティブです。
他の商用製品でユニットテストされて使用されているものに興味がある場合は、sharppcapと連携してtcpフォローとhttp解析の両方を実行する商用製品があります。chmorgan@gmail.com。