TCP流量提取

时间:2009-09-06 06:55:20

标签: tcp

我需要从转储文件中提取TCP流量及其内容,然后将其流量分别保存到其他文件中

5 个答案:

答案 0 :(得分:6)

如果您只做了一些,Wireshark可以做到这一点。

步骤:

  1. 在Wireshark中打开捕获。
  2. 点击您感兴趣的TCP连接中的数据包
  3. 分析 - >关注TCP Stream
  4. 点击“原始”
  5. 选择(从弹出菜单中)“整个对话”或两个方向中的一个。
  6. 点击“另存为”

    7. 替代步骤,仅适用于HTTP:

    1. 打开捕获
    2. 选择文件 - >出口 - >对象 - > HTTP
    3. 将打开一个对话框,显示捕获中的所有HTTP对象。你可以保存部分或全部。

      4. 这是Linux / GTK上的Wireshark 1.2.1。 “跟随TCP流”选项已在不同版本之间移动,因此如果您有旧版本,它可能位于其他位置。但它总是被称为跟随TCP流,所以你应该能够找到它。

      如果Wireshark不适合您,快速搜索还会显示其他几个选项:ngrep,tcpick,chaosreader和tcpflow。

答案 1 :(得分:6)

您肯定希望使用Bro,更具体地说,使用其contents.bro政策。例如,给定包含HTTP请求的跟踪,运行以下... 

bro -r http.trace -f 'tcp and port 80' contents

...生成文件

contents.[senderIP].[senderPort]-[destIP].[destPort]
contents.[destIP].[destPort]-[senderIP].[senderPort]
每个连接的

,每个连接都包含流的单向内容。

流程重组非常强大,流程可扩展到非常大的文件,所有内容都可根据您的需求进行定制。

答案 2 :(得分:3)

tcpflow -r my_dump_file.pcap -o output_dir/

它将每个tcp流分别提取到output_dir下的文件中。每个流都在自己的文件中。

以下是包含更多选项的manpage

答案 3 :(得分:1)

Wire shark也许?它可用于过滤会话,我认为您可以将它们单独保存。

答案 4 :(得分:0)

您还可以查看NetFlow及相关工具。

相关问题
最新问题