Как я могу перехватывать трафик с помощью tcpdump и сохранять только полную полезную нагрузку (данные прикладного уровня, без заголовков tcp/ip) в необработанном двоичном формате?
Сохраняйте необработанную двоичную полезную нагрузку только с помощью tcpdump
Ответы (1)
После захвата трафика и записи его на диск в формате PCAP вы можете разделить каждый поток на отдельные файлы с помощью tcpflow, а затем запустить инструмент вырезания файлов, например, в первую очередь для файлов потока, который может вырезать файлы определенных типов из каждого потока. В следующем примере будут извлечены файлы Window PE и PDF-файлы из потоков:
$ tcpflow -r traffic.pcap -o flows/
$ cat flows/* > big.flow
$ foremost -t exe,pdf -i big.flow
Другой инструмент, способный извлекать распространенные типы файлов, — tcpxtract:
$ tcpxtract --file traffic.pcap -o output/
Другие инструменты включают ChaosReader и Bro's File Analyzer.
person
jonschipp
schedule
30.03.2014
Tcpflow сделал то, что мне было нужно! Спасибо! С помощью флагов -B и -C я мог записывать необработанные двоичные данные полезной нагрузки TCP на стандартный вывод.
- person user3207230; 31.03.2014
