Extrait d'OBTENIR des URIs ou leurs réponses à partir de capture Wireshark pour séparer les fichier(s)

Question

- Je utiliser Wireshark pour capturer une HTTP flux vidéo et j'ai utiliser le filtre suivant pour filtrer les requêtes GET.

http.request.uri contains "identifier" && http.request.method == "GET" && ip.addr == xxx.xxx.xxx.xxx

Questions

  1. Est-il possible d'extraire toutes obtenir une Url pour séparer un .fichier txt?

  2. Ou est possible d'extraire le brut de paquets de réponse (sans la tête), qui correspondent au filtre ci-dessus, dans des fichiers séparés alors que j'ai un tas de vidéo individuelle fichiers par la suite?

J'espère que je me suis fait assez clair 😉

Merci

InformationsquelleAutor TheLostOne | 2012-06-17
  1. 4

    C'est peut-être faisable avec Wireshark, c'est un ordre de grandeur plus facile avec Bro.

    L'Extraction D'Uri

    Simplement de l'exécuter avec votre fichier de trace:

    bro -r <trace>

    Cette invocation génère un tas de fichiers journaux dans le répertoire courant. Celui qui vous intéresse est http.log. Vous pouvez filtrer la sortie pour obtenir uniquement les requêtes GET:

    bro-cut id.orig_h id.resp_h method host uri < http.log | awk '$3 == "GET"'

    Exemple de sortie:

    192.168.1.104   212.96.161.238  GET update.avg.com  /softw/90/update/avg9infowin.ctf
192.168.1.104   77.67.44.206    GET backup.avg.cz   /softw/90/update/u7avi1777u1705ff.bin
192.168.1.104   198.189.255.75  GET aa.avg.com  /softw/90/update/u7iavi2511u2510ff.bin
192.168.1.104   77.67.44.206    GET backup.avg.cz   /softw/90/update/x8xplsb2_118c8.bin

    Comme vous pouvez le voir, les deux dernières colonnes constituent l'intégralité de l'URL. Pour supprimer l'espace entre-deux, vous pouvez utiliser awk pour concaténer les deux derniers champs.

    L'Extraction Des Fichiers

    Note: la prochaine Bro version 2.1 aura des améliorations majeures pour le fichier extractions. En attendant, vous pouvez extraire tous les fichiers à partir d'un flux HTTP, en spécifiant le type MIME des fichiers à stocker:

    bro -r <trace> 'HTTP::extract_file_type = /video\/avi/'

    Bro renifle le type MIME d'un corps HTTP et si elle correspond à l'expression régulière /video\/avi/, il crée un fichier avec le préfixe http-item. Vous pouvez modifier le préfixe de nom par la redéfinition de la HTTP::extraction_prefix variable.

    • Je suis nouveau sur fr. Comment puis-je créer un fichier de trace? Un rapide coup d'oeil à la documentation n'est pas de fournir une réponse pour moi. La question est dans le champ d'application d'une capture Wireshark (PPCE) de sorte qu'il serait utile d'indiquer comment créer un bro fichier de trace à partir d'une évaluation du PPCE.
    • Wireshark utilise également libpcap pour obtenir des paquets, soit de l'état de trace ou à partir d'un live de l'interface. Pour la reproductibilité, on crée généralement un fichier de trace contrairement à renifler à partir d'une interface. C'est indépendant de Bro/Wireshark. Sur les systèmes UNIX, il suffit d'utiliser tcpdump. Sur Windows, vous pouvez également utiliser Wireshark pour enregistrer les paquets d'une interface dans le fichier, alors vous avez une trace. Par la voie, Bro pouvez également lire les trafic à partir d'un live de l'interface lors du passage bro -i <iface>.
    • Ah, tu veux dire un fichier de trace est juste un fichier pcap? C'est source de confusion si vous ne savez pas qui. 😉
    • Vous l'avez. La communauté utilise souvent les termes de façon interchangeable, avec PPCE être le standard de facto pour le trafic réseau de traces.
    InformationsquelleAutor mavam
  2. 0

    Solution pour la Question 1:-

    Utilisation tshark utilitaire. Facile à installer, il suffit de "sudo apt-get install tshark"

    La commande que j'utilise pour le même est de :-

    tshark  -R 'tcp.port==80 && (http.request.method == "GET" || http.request.method=="HEAD" || http.request.method=="POST" )'  -r eth2uplink_00001    -Tfields -e ip.dst -e http.request.method -e http.request.full_uri > requests_eth2_00001

    Référence à toutes les Wireshark filtres d'affichage ici :-
    https://www.wireshark.org/docs/dfref/

    C'est la façon la meilleure approche à l'aide de Bro, Parce que, Bro est très compliqué à installer, car il a des dépendances spécifiques et ils ne pouvaient être satisfaites.

    Je suis actuellement n'avez pas une solution pour la question 2, mais je crois qu'il peut être construit quelque chose de similaire.
    Options suivantes peuvent être utiles à ce que vous essayez.

    -O afficher Uniquement les détails de paquet de ces protocoles, la virgule
    séparés

    -x ajouter une sortie de hex et ASCII dump (Paquet Octets)
    Vous pouvez consulter tshark --help pour plus d'info.

    Espère que cette aide.
    Merci.

    InformationsquelleAutor Akshay Patil