Potrzebuję wyodrębnić strumienie TCP z ich treści z pliku zrzutu, a następnie zapisać ich przepływ w innym pliku, każdy przepływ osobno, czy ktoś zna narzędzie do przetwarzania tego?Wyodrębnianie przepływu TCP
Naprawdę doceniam każdą pomoc
Hanieh Rajabi.
Wire shark może? Może służyć do filtrowania sesji i myślę, że możesz je następnie zapisać osobno.
Jeśli robisz tylko kilka, Wireshark może to zrobić.
Kroki:
alternatywne kroki, bo tylko http:
Jest to z Wireshark 1.2.1 na Linux/GTK. Opcja "follow TCP stream" została przeniesiona pomiędzy wersjami, więc może być gdzie indziej, jeśli masz starszą wersję. Ale zawsze był nazywane Śledź strumień TCP, więc powinieneś być w stanie go znaleźć.
Szybkie wyszukiwanie ujawnia również kilka innych opcji, jeśli Wireshark nie działa dla Ciebie: ngrep, tcpick, chaosreader i tcpflow.
Można również rzucić okiem na NetFlow i powiązane narzędzia.
Zdecydowanie chcesz użyć Bro, a dokładniej, zasady content.bro. Na przykład, biorąc pod uwagę ślad, który zawiera żądania HTTP, uruchamiając następujące ...
bro -r http.trace -f 'tcp and port 80' contents
... produkuje pliki
contents.[senderIP].[senderPort]-[destIP].[destPort]
contents.[destIP].[destPort]-[senderIP].[senderPort]
dla każdego połączenia, każdy zawierający treść jednokierunkowego przepływu.
Ponowny montaż przepływu jest bardzo solidny, proces skaluje się do bardzo dużych plików i wszystko można dostosować do własnych potrzeb.
tcpflow -r my_dump_file.pcap -o output_dir/
Będzie wyodrębnić każdą przepływu tcp oddzielnie do pliku zgodnie output_dir. Każdy przepływ w swoim pliku.
Oto manpage z większą liczbą opcji
To jakoś nie działa. Nie mogę znaleźć 'contents.bro' w dowolnym miejscu. – nponeccop
W ostatnich wydaniach Bro poszukaj skryptów/base/protokocols/conn/contents.bro. – Christian