Reconstrucción completa de la sesión TCP (páginas HTML) de WireShark pcaps, ¿alguna herramienta para esto?

Me pregunto si hay una forma en wireshark de reconstruir una sesión TCP completa (páginas HTML) si tenemos wireshark pcaps, ¿puede wireshark hacer la reconstrucción? o hay alguna herramienta alrededor que pueda hacer la reconstrucción? Los datos transmitidos desde una fuente pueden ser comprimidos (Gzip) o no comprimidos, y el resultado final de la reconstrucción debe ser una página HTML completa válida con todos sus contenidos.

Utilice justniffer-grab-http-traffic . Está basado en justniffer y es una excelente herramienta para reconstruir tcp streams.

También puede usar Bro si prefiere una interfaz de línea de comandos. Simplemente cárguelo con el script de contents :

 bro -r trace.pcap -f 'port 80' contents 

(Puede omitir la expresión de filtro BPF opcional -f port 80 ) Esto extrae la secuencia TCP completa y la escribe en los archivos de la forma:

 contents..-. 

Como Christian mencionó , el reensamblaje es altamente robusto y ha sido probado a fondo.

Dependiendo de la versión de Wireshark que tenga, debería poder hacer algo como:

  1. Filtra la sesión que te interesa
  2. Hacer archivo-> Exportar-> Objetos-> Http
  3. Seleccione una carpeta.

¿Hay algo más que necesites? Esto parece hacer la descompresión de gzip, etc … no funcionará si estás ejecutando SSL ( PODRÍA poder hacerlo si puedes obtener las claves adecuadas para que funcione el decodificador de SSL, pero eso es más complicado y sugeriría probar el violín en ese caso)

HTH

TCPTrace tiene una opción (-e) para esto:

Extracción: la opción -e se puede utilizar para extraer el contenido (carga útil de datos TCP) de cada conexión en un archivo de datos separado.

Por ejemplo,

Beluga: / Users / mani> tcptrace -e albus.dmp

genera archivos a2b_contents.dat, b2a_contents.dat; c2d_contents.dat, d2c_contents.dat si el archivo albus.dmp tiene 2 conexiones TCP rastreadas. tcptrace es bastante inteligente al generar estos archivos de contenido. No comete errores triviales como guardar las retransmisiones varias veces en el archivo, por ejemplo, y está al tanto de los ajustes de espacio de secuencia. Sin embargo, si desea obtener todo el contenido del tráfico, asegúrese de que los paquetes se capturen en su totalidad (proporcione un valor de snaplen adecuado con tcpdump, por ejemplo).

Sugiero tcpflow , un reconstructor completo de sesión tcp / ip. Es muy rápido, manejará sesiones muy grandes, descomprimirá automáticamente las conexiones gzip, desglosará automáticamente los objetos MIME enviados por HTTP, creará un archivo XML de lo que está hecho, se ejecutará en MacOS, Linux y Windows, y más. Es una herramienta de línea de comandos.