运维开发网

tcp – 如何编写http层嗅探器

运维开发网 https://www.qedev.com 2020-07-09 16:13 出处:网络 作者:运维开发网整理
我想写一个应用程序层嗅探器(SMTP / ftp / http). 基于我的搜索,首先(也许最难!)步骤是重新组装嗅探连接的tcp流. 事实上,我需要的是像wireshark的“跟随TCP流”选项,但我需要一个工具,它可以在现场界面上自动完成.据我所知,Tshark可以自动从保存的pcap文件中提取TCP流数据(link),但不能从实时接口中提取. Tshark可以在现场接口上做吗??? 据我所知
我想写一个应用程序层嗅探器(SMTP / ftp / http).

基于我的搜索,首先(也许最难!)步骤是重新组装嗅探连接的tcp流.

事实上,我需要的是像wireshark的“跟随TCP流”选项,但我需要一个工具,它可以在现场界面上自动完成.据我所知,Tshark可以自动从保存的pcap文件中提取TCP流数据(link),但不能从实时接口中提取. Tshark可以在现场接口上做吗???

据我所知,TCPflow可以完全按照我的意愿行事,但是,它无法处理IP碎片整理和SSL连接(我希望在拥有服务器私钥的情况下分析SSL内容).

最后,我还尝试了兄弟网络监视器.虽然它提供了TCP连接列表(conn.log),但我无法获得TCP连接内容.

欢迎任何关于提到的工具或任何其他有用工具的建议.

提前谢谢,丹.

perl Net :: Inspect库可能对您有所帮助.它还附带了一个tcpudpflow,它可以将tcp和udp流写入单独的文件,类似于tcpflow.它适用于pcap文件或可以进行实时捕获.该库处理IP分段.它还附带一个httpflow工具来提取HTTP请求和响应(包括解压缩,分块编码……).它目前不处理SSL.

作为这个库的作者,我不认为提取TCP流是最难的部分,HTTP解析器(排除解压缩,包括分块模式)几乎是IP和TCP组合的两倍.

0

精彩评论

暂无评论...
验证码 换一张
取 消