Завершите реконструкцию TCP Session (HTML-страниц) из WireShark pcaps, какие-нибудь инструменты для этого?

Question

Интересно, есть ли способ в wireshark восстановить полную сессию TCP (HTML-страницы), если у нас есть pcap wireshark, может ли wireshark выполнить реконструкцию? или есть какой-нибудь инструмент, который может сделать реконструкцию? Данные, передаваемые из источника, могут быть сжатыми (Gzip) или несжатыми, и конечным результатом реконструкции должна быть действительная полная HTML-страница со всем ее содержимым.

Answer 1

Вы также можете использовать Bro , если предпочитаете интерфейс командной строки.Просто загрузите его с помощью сценария contents:

bro -r trace.pcap -f 'port 80' contents

(Вы можете пропустить необязательное выражение фильтра BPF -f port 80.). Это извлекает полный поток TCP и записывает его в файлы вида:

contents.<sourceIP>.<sourcePORT>-<destinationIP>.<destinationPORT>

Как Кристиан упомянул , повторная сборка очень надежна и была тщательно протестирована.

Answer 2

В зависимости от того, какая у вас версия Wireshark, вы сможете сделать что-то вроде:

1. Отфильтруйте сеанс, который вам нужен
2. Do File-> Export-> Objects-> Http
3. Выберите папку.

Есть ли что-то еще, что вам нужно ... это похоже на распаковку gzip и т. Д. ... не будет работать, если вы используете SSL (он может MIGHT , если вы можете получить подходящие ключи, чтобы заставить SSL-декодирование работать, но это становится сложнее, и я бы предложил попробовать fiddler в этом случае)

НТН

Answer 3

TCPTrace имеет опцию (-e) для этого:

Извлечение: можно использовать опцию -e извлечь содержимое (данные TCP полезная нагрузка) каждого соединения в отдельный файл данных.

Например,

Beluga: / Пользователи / mani> tcptrace -e albus.dmp

генерирует файлы a2b_contents.dat, b2a_contents.dat; c2d_contents.dat, d2c_contents.dat, если файл albus.dmp было 2 трассированных TCP-соединения. tcptrace довольно умный в создании этих файлы содержимого. Не совершает тривиальные ошибки, такие как сохранение повторные передачи несколько раз в файл, например, и знает о Обтекание пространства последовательностей. Тем не мение, если вы хотите, чтобы все содержимое трафик, пожалуйста, убедитесь, что пакеты захвачены в полном объеме (дать подходящее значение snaplen с tcpdump например).

Answer 4

Я предлагаю tcpflow , полнофункциональный восстановитель сеансов tcp / ip. Он очень быстрый, обрабатывает очень большие сеансы, автоматически распаковывает gzip-соединения, автоматически разбивает MIME-объекты, отправленные по HTTP, создает XML-файл о том, что он сделал, работает в MacOS, Linux и Windows и многое другое. Это инструмент командной строки.

Answer 5

Использование justniffer-grab-http-traffic . Он основан на justniffer и является отличным инструментом для восстановления потоков TCP.