我想知道如果我们有wireshark pcaps,wireshark是否有办法重建一个完整的TCP会话(HTML页面),wireshark可以重建吗?或者是否有可以进行重建的工具?从源传输的数据可以被压缩(Gzip)或未压缩,重建的最终结果应该是包含其所有内容的有效完整HTML页面。
答案 0 :(得分:4)
如果您更喜欢命令行界面,也可以使用Bro。只需使用contents脚本加载它:
bro -r trace.pcap -f 'port 80' contents
(您可以跳过可选的BPF过滤器表达式-f port 80。)这将提取完整的TCP流并将其写入表单的文件:
contents.<sourceIP>.<sourcePORT>-<destinationIP>.<destinationPORT>
作为基督徒mentioned,重组非常强大,并经过彻底测试。
答案 1 :(得分:3)
TCPTrace有一个选项(-e):
提取:可以使用-e选项 提取内容(TCP数据 有效载荷)每个连接成一个 单独的数据文件。
例如,
鲸:/用户/马尼&GT; tcptrace -e albus.dmp
生成文件a2b_contents.dat, b2a_contents.dat; c2d_contents.dat, d2c_contents.dat如果是文件albus.dmp 有2个跟踪的TCP连接。 tcptrace 在生成这些内容时非常聪明 内容文件。它没有提交 像拯救这样的琐碎错误 多次重传 例如,文件知道 序列空间环绕。然而, 如果你想要的全部内容 流量,请确保包 被完全捕获(给予 适当的snaplen值与tcpdump 例如)。
答案 2 :(得分:3)
根据您拥有的Wireshark版本,您应该能够按照以下方式执行操作:
是否还有更多你需要的东西...这似乎是gzip解压缩等......如果你正在运行SSL,它将无法工作(如果你能得到它, MIGHT 就可以了适当的密钥使SSL解码工作,但这变得更棘手,我建议在这种情况下尝试fiddler)
HTH
答案 3 :(得分:2)
我建议tcpflow,一个功能齐全的tcp / ip会话重建器。它非常快,可以处理非常大的会话,自动解压缩gzip连接,自动分解HTTP发送的MIME对象,创建XML文件,完成它的工作,在MacOS,Linux和Windows上运行等等。这是一个命令行工具。
答案 4 :(得分:1)
使用justniffer-grab-http-traffic。它基于justniffer,是重建tcp流的绝佳工具。