Полная реконструкция TCP-сессии (HTML-страниц) из WireShark pcaps, какие-либо инструменты для этого?

Question

Полная реконструкция TCP-сессии (HTML-страниц) из WireShark pcaps, какие-либо инструменты для этого?

интересно, есть ли способ в wireshark восстановить полный сеанс TCP (HTML-страницы) если у нас есть wireshark pcaps, может ли wireshark выполнить реконструкцию? или есть какой-то инструмент, который может сделать реконструкцию? Данные, поступающие из источника, могут быть сжаты (Gzip) или несжаты, а конечным результатом реконструкции должна быть допустимая полная HTML-страница со всем ее содержимым.

10

html pcap wireshark

автор: user1444217

5 ответов

автор: user1444217 · Accepted Answer · 2012-08-29 21:47:04

использовать justniffer-grab-http-трафик .Он основан на justniffer и является отличным инструментом для восстановления потоков tcp.

автор: mavam · Accepted Answer · 2017-05-23 10:33:44

вы также можете использовать Бро если вы предпочитаете интерфейс командной строки. Просто загрузите его с помощью contents сценарий:

bro -r trace.pcap -f 'port 80' contents

(можно пропустить необязательное выражение фильтра BPF -f port 80.) Это извлекает полный поток TCP и записывает их в файлы вида:

contents.<sourceIP>.<sourcePORT>-<destinationIP>.<destinationPORT>

Кристиан указано, reassembly высоки робастно и было испытано тщательно.

автор: Foon · Accepted Answer · 2011-06-07 23:45:53

в зависимости от того, какая версия Wireshark у вас есть, вы должны быть в состоянии сделать что-то вроде:

отфильтруйте сеанс, о котором вы заботитесь
Do File - >Export - >Objects - >Http
выбрать папку.

есть что-то еще, что вам нужно... это, по-видимому, делает декомпрессию gzip и т. д... не будет работать, если вы используете SSL (it может быть в состоянии, если вы можете получить ключи appropiate, чтобы сделать SSL-декодирование работа, но это становится сложнее, и я бы предложил попробовать скрипач в этом случае)

HTH

автор: rupello · Accepted Answer · 2015-06-13 13:19:03

TCPTrace имеет опцию (- e) для этого:

извлечение: можно использовать параметр-e для извлечения содержимого (данные TCP грузоподъемность) каждого соединения в отдельный файл данных.

например,

Beluga: / пользователи / mani> tcptrace-e Альбус.dmp

генерирует файлы a2b_contents.dat, b2a_contents.dat; c2d_contents.dat, d2c_contents.dat, если файл albus.dmp имел 2 трассированные TCP-соединения. tcptrace довольно умно в генерации этих содержимое файлов. Он не совершает тривиальные ошибки, такие как сохранение повторные передачи несколько раз в например, file и знает о обертывание пространства последовательности. Однако, если вы хотите все содержимое трафик, пожалуйста, убедитесь, что пакеты захватываются полностью (дают подходящее значение snaplen с tcpdump например.)

автор: vy32 · Accepted Answer · 2013-04-17 01:43:23

предлагаю tcpflow, полнофункциональный реконструктор сеанса tcp/ip. Он очень быстрый, будет обрабатывать очень большие сеансы, автоматически распаковывает соединения gzip'Ed, автоматически вырывает объекты MIME, отправленные HTTP, создает XML-файл того, что он сделал, работает на MacOS, Linux и Windows, и многое другое. Это инструмент командной строки.