在混杂模式下,使用tcpdump(Wireshark帮助查看十六进制格式的数据包),我可以查看请求的不同数据包(未完成有意义的数据),并获得连接到WiFi路由器的不同设备。
但是,如何重新组合特定设备IP的所有数据包,以获取该设备请求和获取的有意义的数据?
是否有可用的现有解决方案?
答案 0 :(得分:0)
正如David Hoelzer所建议的那样,您首先需要确保启用TCP重组。它很可能已经存在,但是您可以通过“编辑->首选项->协议-> TCP->允许子分解器重新组合TCP流”来验证这一点。如果发生IP碎片,您还应该验证是否也启用了IP重组:“编辑->首选项->协议-> IPv4 | IPv6->重组碎片化的IPv4 | IPv6数据报” 。 / p>
但这还不是全部,因为这不会为您提取完整的文件(对象)。 Wireshark确实通过“文件->导出对象” 功能支持某些协议的对象提取,特别是DICOM,HTTP,IMF,SMB和TFTP。因此,如果文件是通过上述协议之一传输的,那么您很幸运,可以使用Wireshark提取文件。否则,您将不得不找到Wireshark之外的另一个工具,该工具能够从数据包中提取对象。
有关导出对象的更多详细信息,请参见https://www.wireshark.org/docs/wsug_html_chunked/ChIOExportSection.html#ChIOExportObjectsDialog。
如果Wireshark无法满足您的需求,请参见https://wiki.wireshark.org/Tools,以获取您可能感兴趣的其他可能工具。