Extrait d'OBTENIR des URIs ou leurs réponses à partir de capture Wireshark pour séparer les fichier(s)
Question
- Je utiliser Wireshark pour capturer une HTTP flux vidéo et j'ai utiliser le filtre suivant pour filtrer les requêtes GET.
http.request.uri contains "identifier" && http.request.method == "GET" && ip.addr == xxx.xxx.xxx.xxx
Questions
-
Est-il possible d'extraire toutes obtenir une Url pour séparer un .fichier txt?
-
Ou est possible d'extraire le brut de paquets de réponse (sans la tête), qui correspondent au filtre ci-dessus, dans des fichiers séparés alors que j'ai un tas de vidéo individuelle fichiers par la suite?
J'espère que je me suis fait assez clair 😉
Merci
Vous devez vous connecter pour publier un commentaire.
C'est peut-être faisable avec Wireshark, c'est un ordre de grandeur plus facile avec Bro.
L'Extraction D'Uri
Simplement de l'exécuter avec votre fichier de trace:
Cette invocation génère un tas de fichiers journaux dans le répertoire courant. Celui qui vous intéresse est
http.log
. Vous pouvez filtrer la sortie pour obtenir uniquement les requêtes GET:Exemple de sortie:
Comme vous pouvez le voir, les deux dernières colonnes constituent l'intégralité de l'URL. Pour supprimer l'espace entre-deux, vous pouvez utiliser awk pour concaténer les deux derniers champs.
L'Extraction Des Fichiers
Note: la prochaine Bro version 2.1 aura des améliorations majeures pour le fichier extractions. En attendant, vous pouvez extraire tous les fichiers à partir d'un flux HTTP, en spécifiant le type MIME des fichiers à stocker:
Bro renifle le type MIME d'un corps HTTP et si elle correspond à l'expression régulière
/video\/avi/
, il crée un fichier avec le préfixehttp-item
. Vous pouvez modifier le préfixe de nom par la redéfinition de laHTTP::extraction_prefix
variable.tcpdump
. Sur Windows, vous pouvez également utiliser Wireshark pour enregistrer les paquets d'une interface dans le fichier, alors vous avez une trace. Par la voie, Bro pouvez également lire les trafic à partir d'un live de l'interface lors du passagebro -i <iface>
.Solution pour la Question 1:-
Utilisation tshark utilitaire. Facile à installer, il suffit de "sudo apt-get install tshark"
La commande que j'utilise pour le même est de :-
Référence à toutes les Wireshark filtres d'affichage ici :-
https://www.wireshark.org/docs/dfref/
C'est la façon la meilleure approche à l'aide de Bro, Parce que, Bro est très compliqué à installer, car il a des dépendances spécifiques et ils ne pouvaient être satisfaites.
Je suis actuellement n'avez pas une solution pour la question 2, mais je crois qu'il peut être construit quelque chose de similaire.
Options suivantes peuvent être utiles à ce que vous essayez.
-O afficher Uniquement les détails de paquet de ces protocoles, la virgule
séparés
-x ajouter une sortie de hex et ASCII dump (Paquet Octets)
Vous pouvez consulter tshark --help pour plus d'info.
Espère que cette aide.
Merci.