我正在寻找一种工具(最好是在Linux上),它可以探查UDP流量,并只将应用层记录到文件中。
我无法让tcpdump/wireshark这样做,因为它们也总是写下层的头。我尝试使用snort(./snort-qd-l./logs),但即使数据包中没有应用层数据,它也会将数据存储到文件中。
也许有人知道这样一个工具。。。
哦,UDP流量也是多播的。。。
我还尝试了多播(VideoLAN)。他们声称这是多播的网络猫。但我不知道,除了我使用netcat手动发送的有效负载之外,它还存储了一些其他二进制垃圾(对我来说)。。。有人熟悉多播吗?
Wireshark具有解析大多数协议标头的过滤器,并且肯定会识别UDP、IP、以太网等标头。我不确定您想通过日志记录实现什么,但如果文件的格式很重要(即,甚至不应该将任何标头存储到文件中),您可以尝试使用UDP代理。
使用netcat,你可以做一些类似的事情
nc -u -l 12345 | tee mydumpfile.out | nc -u target.example.com 12345
您也必须执行相反的操作才能转储双向通信。如果您这样做是为了进行反向工程,您可能还需要编辑/etc/hosts文件,以将目标DNS名称指向localhost。我为TCP连接做过几次这样的操作,但我没有为UDP尝试,由于管道数据的缓冲,可能存在数据包边界等问题。
如果你想要最大限度的控制,可以自己写(如果你使用Python+Twisted,它只有十几行左右)