我想写一个应用层嗅探器(SMTP/ftp/http)。如何写http层嗅探器
根据我的搜索,首先(也许是最难!)的步骤是重新组装sniffed连接的tcp流。
事实上,我需要的是类似wireshark的“遵循TCP流”选项,但我需要一个工具,它可以在实时界面上自动执行。据我所知,Tshark可以从保存的pcap文件中自动提取TCP流数据(link),但不能从实时接口中提取。 Tshark可以在现场接口上做到吗?我知道,TCPflow可以做到我想要的,然而,它不能处理IP碎片整理和SSL连接(我想在我拥有服务器私钥的情况下分析SSL内容)。
最后,我也尝试bro网络监视器。虽然它提供了TCP连接列表(conn.log),但我无法获取TCP连接内容。
任何关于提到的工具或任何其他有用的工具的建议是值得欢迎的。
在此先感谢Dan。