我已经试了几个小时来解决这个问题。像个疯子一样在谷歌上搜索。如何从一堆包中导出FTP数据?就像在Wireshark中导出HTTP包一样,只需点击几下,您就可以将所有包作为一个文件导出到一个文件中,然后打开HTML页面。
假设你下载了一个.zip文件(通过FTP),并用Wireshark捕获了这个文件。现在,我想将所有包含.zip文件的FTP数据包导出到.zip文件的副本中。我该怎么做?我设法得到了所有的hexdumps(我想这就是它的名字)的包,它看起来像这样:
0000 00 50 56 ca 11 d8 00 50 18 03 39 80 08 00 45 00 .PV....P..9...E.
0010 04 34 06 34 40 00 2d 06 d3 6f c1 e7 ec 2a c0 a8 .4.4@.-..o...*..
etc...
也许我可以以某种方式转换它?或者还有别的办法吗?
您可以使用Bro从FTP流量(以及其他协议)中提取文件。只需按如下方式运行:
bro -r trace.pcap 'FTP::extract_file_types = /.*/'
该模式控制要提取的文件的MIME类型。在网络接口上嗅探时,将-r <trace>更改为-i <interface>。Bro在正在运行的同一目录中创建日志文件。除了基本日志,您现在还可以找到名为的文件
ftp-item_<SERVER-IP>:<SERVER-DATA-PORT>-<CLIENT-IP>:<CLIENT-PORT>.dat
其包含FTP数据的有效载荷。