Le décapage de la charge utile à partir d'un tcpdump?
Est-il un moyen automatisé (soit dans tcpdump ou par l'intermédiaire d'une aide de l'app Là-bas) pour générer un fichier pcap qui contient uniquement Ethernet, IP et la Couche 4 (TCP dans mon cas) des en-têtes, de sorte qu'il n'y a pas de charge/de données d'application dans le résultat de l'évaluation du ppce? J'ai constaté que depuis l'en-tête de tailles varient souvent, il est impossible d'en choisir une taille de capture qui ne prends pas toutes les données de la charge utile.
Vous devez vous connecter pour publier un commentaire.
Vous pouvez dépouiller le TCP charge utile très facilement avec Python
scapy
moduleAVANT
CHARGE UTILE DE DÉCAPAGE
L'exécution de ce en tant que root sous linux...
APRÈS
Dans le
tcpdump
ci-dessus, notez le "XX octets manquants!" des messages. C'est parce que nous avons supprimé le TCP charge utile.Si le simple fait de tronquer serait travailler pour vous, vous pouvez utiliser:
Plus tard, vous pouvez l'analyser avec wireshark.
Ma solution a été comme suit. J'aimerais entendre comment les autres le font sans bibliothèques externes ou de troncature. J'aimerais entendre comment les autres réalisé cela, parce que j'ai été incapable de trouver le remove_payload() fonction dans le Scapy de la documentation, en faisant cette réponse inutilisable.
Le problème avec ceci est que, lors de la lecture à l'aide de tcpdump, il laisse un octets manquants! pour la src IP. Je peux vérifier l'infromation est toujours là à l'aide de scapy via
Est-il un moyen de régénérer l'ensemble de la capture de sorte qu'il semble comme si elle a été altérée?