TCPフロー抽出

Question

ダンプファイルからその内容を含むTCPフローを抽出し、それぞれのフローを別々のフローに保存する必要があります。これを処理するツールを知っている人はいますか？

私は本当にすべてのヘルプ

Haniehラジャビのために感謝しています。

Answer 1

Wire shark多分？それはセッションをフィルタリングするために使用することができ、あなたはそれらを別々に保存できると思います。

Answer 2

ごく一部の場合は、Wiresharkがこれを行うことができます。

ステップ：

1. は、Wiresharkのでキャプチャを開きます。あなたが興味を持っているTCPコネクションからのパケットの
2. クリック
3. 分析 - >フォローTCPストリーム
4. （ポップアップメニューから）をクリックして「生」
5. SELECT「全体の会話」または1の1の両方の方向。

代替手順、HTTPのための唯一の '名前を付けて保存' をクリックします：

1. キャプチャを開き
2. [ファイル] - > [エクスポート] - >オブジェクト - > HTTP
3. ダイアログキャプチャ内のすべてのHTTPオブジェクトを表示します。あなたはそれらのいくつかまたはすべてを保存することができます。

これは、Linux/GTKのWireshark 1.2.1にあります。 'follow TCP stream'オプションはバージョン間で移動されていますので、古いバージョンの場合は他の場所にある可能性があります。しかし、それは常にと呼ばれています。そのため、TCPストリームに従ってください。

Wiresharkがうまく動作しない場合、ngrep、tcpick、chaosreader、およびtcpflowのクイック検索でいくつかのオプションが表示されます。

Answer 3

また、NetFlowと関連ツールもご覧になれます。

Answer 4

具体的にはBro、特にcontents.broポリシーを使用します。例えば、

bro -r http.trace -f 'tcp and port 80' contents 

...以下を実行している、HTTP要求が含まれているトレースを与えられた...ファイルにそれぞれ接続するための

contents.[senderIP].[senderPort]-[destIP].[destPort] 
contents.[destIP].[destPort]-[senderIP].[senderPort] 

、流れの一方向の内容を含む各を生成します。

フローリアセンブリは非常に堅牢で、プロセスは非常に大きなファイルに拡張され、すべてがニーズに合わせてカスタマイズできます。

Answer 5

tcpflow -r my_dump_file.pcap -o output_dir/ 

各tcpフローは、output_dirのファイルに別々に抽出されます。各フローはそれ自身のファイルにあります。

ここにはmanpageのオプションがあります。