我正在寻找可以嗅探UDP流量并仅将应用程序层记录到文件中的工具(最好是在Linux上)。
我无法使 tcpdump / wireshark 这样做,因为他们也总是写下层的标题。 我尝试使用 snort (./snort -qd -l ./logs),但即使数据包中没有应用程序层数据,它也会将数据存储到文件中。
也许有人知道这样的工具......
哦,UDP流量也是多播......
我还尝试了 multicat (VideoLAN)。他们声称这是多播的netcat。但我不知道,除了我使用netcat手动发送的有效负载外,它还存储了一些其他二进制垃圾(对我而言)...... 有人熟悉multicat吗?
答案 0 :(得分:0)
Wireshark具有解析大多数协议标头的过滤器,并且肯定会识别UDP,IP,以太网等标头。我不确定您希望通过日志记录完成什么,但如果文件的格式很重要(即,甚至不应将标头存储到文件中),您可以尝试使用UDP代理。
使用netcat,您可以执行类似
的操作nc -u -l 12345 | tee mydumpfile.out | nc -u target.example.com 12345
您还必须反向转储双向通信。如果您正在进行逆向工程,则可能还需要编辑/etc/hosts文件,以将目标DNS名称指向localhost。我这样做了几次TCP连接,但我没有尝试过UDP,由于管道数据的缓冲,可能存在数据包边界等问题。
如果您想要最大程度的控制,请自行编写(如果使用Python+Twisted,则只有十几行