11
我试图通过libpcap嗅探HTTP数据,并在处理TCP有效负载后获取所有http内容(头+负载)。重构PCAP嗅探数据
根据我在Writing an http sniffer (or any other application level sniffer)的讨论,我面临着由于碎片而导致的问题 - 我需要重建整个流(或进行碎片整理)以获得完整的HTTP数据包,这是我需要一些帮助的地方。
感谢预期!
A
回答
9
这真的很简单。只需从pcap获得的以太网帧,并从它们中提取IP数据包,重新组装所有碎片。然后,根据序列号从IP数据包重新排列TCP段,注意丢弃任何重复的数据。然后,将该流处理为HTTP流。当然,HTTP不会进入数据包;它是一个应用层协议,但是我相信,一旦你完成了所有这些其他工作,这将是显而易见的。在你做所有这些事情时,请注意IP头和TCP段的校验和,以确保你的数据是正确的。另外,如果pcap发生错过任何数据包,请确保您正确处理此问题。
为了帮助你前进的Linux TCP stack,因为它在内核中出现应提供简明参考这一进程。
5
而不是重新组装流youself,您可以使用tcptrace重新组装PCAP文件。我相信-e会做到这一点。
一旦你有一体的应用层数据,可以应用简单的HTTP报头解析.... Perhps从文库例如http://github.com/ry/http-parser
+0
谢谢乔......如果我自己做不到,我会尝试这些工具。再次感谢 ! – Ishi 2010-05-27 12:29:37
2
为了重构包含在PCAP文件一个奇妙的工具中的数据是Xplico:http://www.xplico.org
2
从pcap文件重新构建http内容的最佳工具是justniffer。它使用Linux内核的prtion进行IP分片和TCP分组重新处理。
相关问题
- 1. 数据包嗅探
- 2. 帮助使用pcap库来嗅探数据包
- 3. 解码嗅探数据包
- 4. 数据包嗅探错误
- 5. 使用pcap,MAC地址过滤器的无线嗅探
- 6. Scapy嗅探SSL
- 7. HTTPS/SSL嗅探
- 8. 嗅探检测
- 9. 数据包嗅探和会话
- 10. 使用VBscript嗅探UDP数据包
- 11. 如何嗅探iphone网络数据
- 12. 嗅探器,过滤IPv6数据包
- 13. 使用tshark嗅探数据包
- 14. 数据包嗅探器插座例外
- 15. 如何用libpcap嗅探PPP数据包?
- 16. 参数嗅探不工作
- 17. 包嗅探器不能嗅出SIP电话(VoIP)数据包
- 18. Cookie嗅探器 - PHP
- 19. 浏览器嗅探
- 20. Python(scapy):如何嗅探只有outboun数据包的数据包
- 21. 参数嗅探表值参数
- 22. 使用XML参数嗅探参数
- 23. Scapy的:嗅探自制层
- 24. 如何嗅探http请求
- 25. 在Scapy中使用嗅探
- 26. 嗅探802.11和3G网络
- 27. 蓝牙“嗅探模式”
- 28. 嗅探iphone网络包?
- 29. Windows Phone 7嗅探器
- 30. Python中的URL嗅探
谢谢!我明白了:) – Ishi 2010-05-27 12:27:53