Извлечение потока TCP

Вы определенно хотите использовать Bro, точнее, его политику content.bro. Например, учитывая трассировку, содержащую HTTP-запросы, выполняется следующее...

bro -r http.trace -f 'tcp and port 80' contents

... производит файлы

contents.[senderIP].[senderPort]-[destIP].[destPort]
contents.[destIP].[destPort]-[senderIP].[senderPort] 

для каждого соединения, каждое из которых содержит однонаправленное содержимое потока.

Повторная сборка потока очень надежна, процесс масштабируется до очень больших файлов, и все настраивается в соответствии с вашими потребностями.

Если вы делаете только несколько, Wireshark может сделать это.

шаги:

1. Откройте захват в Wireshark.
2. Нажмите на пакет из интересующего вас TCP-соединения
3. Анализировать -> Следить за TCP Stream
4. Нажмите "Сырой"
5. Выберите (во всплывающем меню) один из вариантов "Весь разговор" или одно из двух направлений.
6. Нажмите "Сохранить как"

Альтернативные шаги, только для HTTP:

1. Откройте захват
2. Выберите Файл -> Экспорт -> Объекты -> HTTP
3. Откроется диалоговое окно, показывающее все объекты HTTP в захвате. Вы можете сохранить некоторые или все из них.

Это с Wireshark 1.2.1 на Linux/GTK. Опция 'follow TCP stream' была перемещена между версиями, поэтому она может быть где-то еще, если у вас более старая версия. Но он всегда назывался Follow TCP Stream, поэтому вы сможете найти его.

Быстрый поиск также показывает несколько других опций, если Wireshark не работает для вас: ngrep, tcpick, chaosreader и tcpflow.

tcpflow -r my_dump_file.pcap -o output_dir/

Он извлечет каждый поток tcp отдельно в файл с именем output_dir. Каждый поток в своем собственном файле.

Вот man-страница с большим количеством опций

Проволочная акула может быть? Он может быть использован для фильтрации сессий, и я думаю, что вы можете сохранить их отдельно.

Вы также можете взглянуть на NetFlow и связанные с ним инструменты.