Załóżmy, że mam dziennik ruchu Wireshark ze strony internetowej.
Czy mogę zrekonstruować różne elementy, takie jak plik HTML, pliki obrazów, pliki skryptów Java itp.?
Najlepiej byłoby wziąć plik .pcap i automatycznie wygenerować pojedyncze pliki.
0
Odpowiedzi:
Dlaczego chcesz to zrobić w ten sposób? Coś nie całkiem nie poziom?
Osobiście nie widziałem takiego programu, jaki opisujesz.
Myślenie o tym byłoby praktycznym dość trudnym zadaniem i najlepiej uzyskać je z kopii zapasowej danych źródłowych. Przechwycone pakiety prawdopodobnie nie będą w tej samej kolejności ze względu na okienkowanie i retransmisje i tym podobne.
Mogę poświęcić czas i wysiłek w zależności od podstawowej wartości informacji, które próbujesz skonstruować (tj. Sprawy kryminalne lub sądowe).
źródło
O ile klient użył nowego strumienia TCP dla każdego pobranego elementu, można to zrobić za pomocą wireshark.
Użyj opcji Follow Stream Stream z menu po kliknięciu prawym przyciskiem myszy na każdym ze strumieni TCP. To da ci każdy pakiet zaangażowany w tę sesję. W dolnej części okna dialogowego zmień menu rozwijane „Cała rozmowa”, tak aby obejmowało tylko ruch z serwera do klienta.
Następnie możesz zapisać jako Raw, za każdym razem wybierając odpowiednią nazwę pliku.
źródło
Natknąłem się na ten artykuł, który wydaje się opisywać, jak zrobić to, co próbujesz:
https://blog.rootshell.be/2009/04/15/forensics-reconstructing-data-from-pcap-files/
źródło