通过Wireshark重建网页内容

通过Wireshark重建网页内容

假设我有一个来自某个网​​站的流量的 Wireshark 日志。

我可以重建各种元素,如 HTML 文件、图片文件、java 脚本文件等吗?

理想情况下,它会采用.pcap 文件并自动生成单独的文件。

答案1

你为什么要这样做?这不太符合水平吧?

我个人还没有见过像您所描述的程序。

考虑到这一点,这实际上是一项相当困难的任务,最好从备份源数据中获取。由于窗口和重传等原因,捕获的数据包可能不是按相同顺序排列的。

我可能会花费时间和精力,具体取决于您尝试构建的信息的潜在价值(即刑事或法医问题)。

答案2

假设客户端对每个下载的元素都使用一个新的 TCP 流,那么您可以使用 wireshark 来执行此操作。

使用每个 TCP 流的右键菜单中的“跟踪 TCP 流”选项。这将为您提供该会话中涉及的每个数据包。在对话框的底部,更改“整个对话”下拉菜单,使其仅包含从服务器到客户端的流量。

然后您可以将其另存为 Raw,每次都选择适当的文件名。

答案3

我浏览了这篇文章,它似乎描述了如何做你正在尝试做的事情:

https://blog.rootshell.be/2009/04/15/forensics-reconstructing-data-from-pcap-files/

相关内容