Полная реконструкция TCP Session (HTML-страниц) из WireShark pcaps, есть какие-нибудь инструменты для этого?
Интересно, есть ли способ в wireshark восстановить полную сессию TCP (HTML-страницы), если у нас есть pcap wireshark, может ли wireshark выполнить реконструкцию? или есть какой-нибудь инструмент, который может сделать реконструкцию? Данные, передаваемые из источника, могут быть сжатыми (Gzip) или несжатыми, и конечным результатом реконструкции должна быть действительная полная HTML-страница со всем ее содержимым.
5 ответов
Используйте justniffer-grab-http-traffic. Он основан на justniffer и является отличным инструментом для восстановления потоков tcp.
Вы также можете использовать Bro, если вы предпочитаете интерфейс командной строки. Просто загрузите его с contents сценарий:
bro -r trace.pcap -f 'port 80' contents
(Вы можете пропустить необязательное выражение фильтра BPF -f port 80.) Это извлекает полный поток TCP и записывает его в файлы вида:
contents.<sourceIP>.<sourcePORT>-<destinationIP>.<destinationPORT>
Как упоминал Кристиан, повторная сборка очень надежна и была тщательно протестирована.
TCPTrace имеет опцию (-e) для этого:
Извлечение: опцию -e можно использовать для извлечения содержимого (полезной нагрузки данных TCP) каждого соединения в отдельный файл данных.
Например,
Beluga: / Пользователи /mani> tcptrace -e albus.dmp
генерирует файлы a2b_contents.dat, b2a_contents.dat; c2d_contents.dat, d2c_contents.dat, если в файле albus.dmp было 2 трассированных TCP-соединения. tcptrace довольно умен в создании этих файлов содержимого. Он не допускает тривиальных ошибок, таких как, например, многократное сохранение повторных передач в файле, и знает об обходах пространства последовательностей. Однако, если вы хотите получить все содержимое трафика, убедитесь, что пакеты перехвачены полностью (например, укажите подходящее значение snaplen с помощью tcpdump).
В зависимости от того, какая у вас версия Wireshark, вы должны сделать что-то вроде:
- Отфильтруйте сеанс, который вас интересует
- Делаем Файл-> Экспорт-> Объекты-> http
- Выберите папку.
Есть ли что-то еще, что вам нужно... это похоже на распаковку gzip и т. Д.... не будет работать, если вы используете SSL (это МОЖЕТ быть в состоянии, если вы можете получить подходящие ключи для работы декодирования SSL, но это становится сложнее, и я бы предложил попробовать скрипач в этом случае)
НТН
Я предлагаю tcpflow, полнофункциональный реконструктор сессии tcp/ip. Он очень быстрый, обрабатывает очень большие сеансы, автоматически распаковывает gzip-соединения, автоматически разбивает MIME-объекты, отправленные по HTTP, создает XML-файл о том, что он сделал, работает в MacOS, Linux и Windows и многое другое. Это инструмент командной строки.