Question

我正在尝试从收集的包中提取数据（tcpdump / wireshark）。如果我去网站，我可以捕获的只是标题，而不是网页的内容。例如：

Wireshark

TCPDUMP：

17：34：51.861910 IP HackMachine-G51J.47928＆gt; 50.6.246.185.http：标志
  [P.]，seq 511：1032，ack 181，win 237，options [nop，nop，TS val 9134579
  ecr 2921721692]，长度521
  E .. =。8 @。@ ..... V2 .... 8.PiI ................. .. .. ..％。\ GET /默认的.css
  HTTP / 1.1主机：www.rationallyparanoid.com用户代理：Mozilla / 5.0
  （X11; Linux x86_64; rv：30.0）Gecko / 20100101 Firefox / 30.0接受：
  text / css， / ; q = 0.1 Accept-Language：en-US，en; q = 0.5 Accept-Encoding：
  gzip，deflate DNT：1 Referer：
  http://www.rationallyparanoid.com/articles/tcpdump.html x-pzi27：
  杀死+ 911 +战争x-khy3445：亲爱的％20NSA％2C％0Afuck％20you％21连接：
  keep-alive If-Modified-Since：Sat，2013年4月20日23:47:10 GMT
  If-None-Match：“3660064-14dd-517328fe”Cache-Control：max-age = 0

我得到的只是标题。有人知道如何提取内容吗？

Answer 1

您无法从数据包中获取该数据包，因为它未送达！

HTTP支持an "If-Modified-Since" header;正如RFC所说：

The "If-Modified-Since" header field makes a GET or HEAD request
method conditional on the selected representation's modification date
being more recent than the date provided in the field-value.
Transfer of the selected representation's data is avoided if that
data has not changed.

正如您所看到的，在下一个数据包中的回复有一个回复＃34; 304 Not Modified＆＃34;，这意味着有问题的页面自If中指定的时间以来没有改变-Modified-Since标题，因此当时机器已经提取的任何副本都是足够好的。

如果您希望网页内容显示在网络跟踪中，则必须说服您的浏览器放弃已保存的任何副本，以便它不会使用If-Modified-以来;我不知道如何使用Firefox（我认为，从头文件中，您使用的是Firefox），但是反复尝试获取页面可能会被视为＆＃34;丢弃缓存的副本＆＃34;指示，Firefox UI中可能还有一些方法可以放弃缓存的页面副本。

从wireshark / tcpdump中提取有用的数据

1 个答案: