Reconstituer les données du snap du PCAP

Je suis en train de renifler HTTP de données par le biais de libpcap et obtenir toutes le http du contenu (en-tête+charge utile) après le traitement de la TCP charge utile.

Que par ma discussion à L'écriture d'un http sniffer (ou toute autre application, le niveau de sniffer) , je suis confronté à des problèmes en raison de la fragmentation - je besoin pour reconstruire l'ensemble du flux de données (ou de le défragmenter) pour obtenir un paquet HTTP, et c'est là que j'ai besoin d'aide.

Merci d'avance !!

source d'informationauteur Ishi

  1. 9

    C'est vraiment assez simple. Il suffit de prendre les trames ethernet que vous obtenez à partir de ppce et extraire les paquets IP à partir d'eux, remontage de tout qui ont été fragmentées. Ensuite, réorganiser les segments TCP IP des paquets, en fonction de la séquence de nombres, en faisant attention que vous jetez toutes les données en double. Ensuite, traiter le flux comme un flux HTTP. Bien sûr, HTTP n'est pas en paquets; c'est un protocole de la couche application, mais je suis sûr que ce sera évident, une fois que vous avez fait tout ce travail. Faites attention quand vous vous de faire toutes ces choses à la somme de contrôle en-têtes IP et TCP segments, pour s'assurer que vos données sont correctes. Aussi, si ppce arrive de manquer des paquets, assurez-vous de traiter de manière appropriée.

    Pour vous aider le long de la Linux pile TCP doit comporter une brève référence à ce processus, comme cela se produit dans le noyau.

  2. 5

    Plutôt que de remonter le flux de vous-même, vous pouvez utiliser tcptrace pour réassembler le fichier pcap. Je crois -e de le faire.

    Une fois que vous avez l'application de la couche de données en un seul morceau, vous pouvez appliquer une en-tête HTTP de l'analyse.... Perhps à partir d'une bibliothèque comme http://github.com/ry/http-parser

  3. 2

    De reconstruire les données contenues dans un fichier pcap un merveilleux outil est Xplico: http://www.xplico.org

  4. 2

    Le meilleur outil pour recostruct l'adresse http du contenu à partir de fichiers pcap est justniffer. Il utilise prtion du noyau linux pour la fragmentation IP e paquet tcp reordeiring.