从 WireShark pcaps 完全重建 TCP 会话（HTML 页面），有什么工具可以实现这一点吗？

发布于 2024-11-10 02:18:30 字数 153 浏览 4 评论 0原文

我想知道wireshark是否有办法重建完整的TCP会话（HTML页面）如果我们有wireshark pcaps，wireshark可以重建吗？或者是否有任何工具可以进行重建？从源流式传输的数据可以被压缩 (Gzip) 或未压缩，重建的最终结果应该是包含其所有内容的有效完整 HTML 页面。

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

孤寂小茶 2024-11-17 02:18:30

如果您更喜欢命令行界面，也可以使用 Bro。只需使用 contents 脚本加载它：（

bro -r trace.pcap -f 'port 80' contents

您可以跳过可选的 BPF 过滤器表达式 -f port 80。）这会提取完整的 TCP 流并将其写入形式：

contents.<sourceIP>.<sourcePORT>-<destinationIP>.<destinationPORT>

正如 Christian 提到的，重组是高度稳健的并经过彻底测试。

You can also use Bro if you prefer a command-line interface. Simply load it with the contents script:

bro -r trace.pcap -f 'port 80' contents

(You can skip the optional BPF filter expression -f port 80.) This extracts the full TCP stream and writes it to files of the form:

contents.<sourceIP>.<sourcePORT>-<destinationIP>.<destinationPORT>

As Christian mentioned, the reassembly is highly robust and has been tested thoroughly.

回复收藏 0 原文

辞旧 2024-11-17 02:18:30

根据您拥有的 Wireshark 版本，您应该能够执行以下操作：

过滤出您关心的会话
文件 -> 导出 -> 对象 -> Http
选择一个文件夹。

您是否还需要更多东西...这似乎可以进行 gzip 解压缩等...如果您正在运行 SSL，则无法工作（如果您可以获得适当的密钥，它可能能够使 SSL 解码工作，但这变得更棘手，我建议在这种情况下尝试 fiddler）

HTH

回复收藏 0 原文

妄司 2024-11-17 02:18:30

TCPTrace 有一个选项（-e）：

提取：可以使用-e选项
提取内容（TCP 数据
每个连接的有效负载）
单独的数据文件。
例如，
白鲸：/Users/mani> tcptrace -e
albus.dmp
生成文件a2b_contents.dat，
b2a_内容.dat； c2d_contents.dat，
d2c_contents.dat 如果文件 albus.dmp
有 2 个跟踪的 TCP 连接。 tcptrace
生成这些非常聪明
内容文件。它不承诺
诸如保存之类的小错误
中多次重传
例如文件，并且知道
序列空间环绕。然而，
如果你想要完整的内容
流量，请确保数据包
被完整捕获（给出
适合 tcpdump 的 snaplen 值
例如）。