我想知道wireshark中是否有重建完整TCP会话(HTML页面)的方法,如果我们有wireshark pcaps,wireshark能重建吗?或者周围有什么工具可以进行重建?从源流式传输的数据可以被压缩(Gzip)或未压缩,重建的最终结果应该是一个有效的完整HTML页面及其所有内容。
如果您喜欢命令行界面,也可以使用Bro。只需使用contents脚本加载即可:
bro -r trace.pcap -f 'port 80' contents
(您可以跳过可选的BPF筛选器表达式-f port 80。)这将提取完整的TCP流,并将其写入以下格式的文件:
contents.<sourceIP>.<sourcePORT>-<destinationIP>.<destinationPORT>
正如克里斯蒂安所提到的,重组是非常稳健的,并且经过了彻底的测试。
根据您拥有的Wireshark版本,您应该能够执行以下操作:
- 筛选出您关心的会话
- 执行文件->导出->对象->Http
- 选择一个文件夹
你还需要什么吗。。。如果你正在运行SSL,这似乎可以进行gzip解压缩等操作……将不起作用(如果你能获得合适的密钥来进行SSL解码,它可能会起作用,但这会变得更棘手,我建议在这种情况下尝试fiddler)
HTH
TCPTrace有一个选项(-e):
提取:可以使用-e选项提取内容(TCP数据有效载荷)单独的数据文件。
例如,
Beluga:/Users/mani>tcptrace-ealbus.dmp
生成文件a2b_ contents.dat,b2a_contents.dat;c2d_contents.dat,d2c_contents.dat(如果文件为albus.dmp)有2个跟踪的TCP连接。tcptrace在生成这些方面非常聪明内容文件。它不承诺像储蓄这样的琐碎错误在文件,并且知道序列空间环绕。然而如果您想要交通堵塞,请确保数据包被完整捕获(给出tcpdump的适当snaplen值例如)。
我建议使用tcpflow,一个功能齐全的tcp/ip会话重构器。它非常快速,可以处理非常大的会话,自动解压缩gzip的连接,自动分解HTTP发送的MIME对象,创建一个XML文件,在MacOS、Linux和Windows上运行,等等。这是一个命令行工具。
使用justniffer-grab http流量。它基于justniffer,是重建tcp流的优秀工具。