从 PCAP 嗅探重建数据

Question

我试图通过 libpcap 嗅探 HTTP 数据，并在处理 TCP 有效负载后获取所有 http 内容（标头+有效负载）。

根据我在 编写 http 嗅探器（或任何其他应用程序级别的嗅探器） ，我面临着由于碎片而产生的问题 - 我需要重建整个流（或对其进行碎片整理）以获得完整的 HTTP 数据包，这就是我需要一些帮助的地方。

谢谢期待！！

Answer 1

这真的很简单。只需获取从 pcap 获得的以太网帧并从中提取 IP 数据包，重新组装任何碎片即可。然后，根据序列号对 IP 数据包中的 TCP 段重新排序，注意丢弃任何重复的数据。然后，将该流作为 HTTP 流进行处理。当然，HTTP 不是以数据包的形式出现的；而是以数据包的形式出现的。它是一个应用程序层协议，但我相信一旦您完成了所有其他工作，这一点就会显而易见。在执行所有这些操作时，请注意对 IP 标头和 TCP 段进行校验和，以确保数据正确。另外，如果 pcap 碰巧丢失了任何数据包，请确保正确处理此问题。

为了帮助您了解 Linux TCP 堆栈，应该提供一个简明的参考这个过程发生在内核中。

Answer 2

您可以使用 tcptrace 重新组装 pcap 文件，而不是自行重新组装流。我相信 -e 会做到的。

一旦您将应用程序层数据整合在一起，您就可以应用简单的 HTTP 标头解析......来自诸如 http://github.com/ry/http-parser

Answer 3

要重建 pcap 文件中包含的数据，Xplico 是一个很棒的工具：http://www.xplico.org

Answer 4

从 pcap 文件重建 http 内容的最佳工具是 justniffer。它使用 Linux 内核的部分来进行 IP 分段和 TCP 数据包重新排序。

Answer 5

PCapPlusPlus 包含一个示例控制台程序 TCPReassemble 嗅探流量并将每个流输出到单独的文本文件。您可以在许多选项中指示要收听哪个流。

该文档还提到了一个具有更多选项的 Linux 应用程序 tcpflow。