我一直在努力解决这个问题。谷歌搜索像疯子一样。如何从一堆软件包中导出FTP数据?就像在Wireshark中导出HTTP包一样,只需点击几下,您就可以将所有包作为单个包导出到文件中,然后只需打开HTML页面。
假设你说你下载了一个.zip文件(通过FTP),你就用Wireshark抓住了它。现在我想将包含.zip文件的所有FTP数据包导出到.zip文件的副本。我怎样才能做到这一点?我设法得到所有包的六角形(我认为这就是所谓的),它看起来像这样:
0000 00 50 56 ca 11 d8 00 50 18 03 39 80 08 00 45 00 .PV....P..9...E.
0010 04 34 06 34 40 00 2d 06 d3 6f c1 e7 ec 2a c0 a8 .4.4@.-..o...*..
etc...
也许我能以某种方式转换它?或者还有其他方式吗?
答案 0 :(得分:1)
您可以使用Bro从FTP流量(以及其他协议)中提取文件。只需按如下方式运行:
bro -r trace.pcap 'FTP::extract_file_types = /.*/'
模式控制要提取的文件的MIME类型。在网络界面上嗅探时,将-r <trace>更改为-i <interface>。 Bro在正在运行的同一目录中创建日志文件。除了基本日志之外,您现在还可以找到名为
ftp-item_<SERVER-IP>:<SERVER-DATA-PORT>-<CLIENT-IP>:<CLIENT-PORT>.dat
包含FTP数据的有效负载。