Ранее взломали код driftnet, tcpflow, pcap и т. Д.
tcpflow может повторно собирать дампы, например, из tcpdump. «Типичная» цепочка работ может быть:
$ tcpdump -nnieth0 -w dump.raw
# dump dum dump
$ mkdir tmp && cd tmp
tmp/$ tcpflow -r ../dump.raw
# This joins the transfers into separate files
# Now one can investigate each transfere from those separate files
# Next join them to one:
tmp/$ cat * > ../dump.flow
tmp/$ cd ..
# Extract some data
$ foremost -i dump.flow
Поверьте, вы можете найти несколько полезных строк в исходном коде для них.
Остальное:
Библиотека разбора HTTP: Анализатор HTTP