如何重组 tcpdump 看到的特定设备 IP 的 IP 分段数据包

【问题标题】:How to reassemble IP fragment packets seen by tcpdump for a particular device IP如何重组 tcpdump 看到的特定设备 IP 的 IP 分段数据包
【发布时间】:2018-08-18 10:28:46
【问题描述】:

在混杂模式下,使用tcpdump(Wireshark帮助查看Hex格式的数据包),我可以查看请求的不同数据包(不完整有意义的数据),并获得我连接到WiFi路由器的不同设备。

但是我如何重新组装特定设备 IP 的所有数据包,以便获得该设备请求和获得的有意义的数据?

是否有任何现有的解决方案可用?

【问题讨论】:

  • 是的。 Wireshark 和许多其他工具。但是,这个问题适合 SO。
  • 从 Wireshark 中,我无法提取有意义的数据。假设我的一台设备正在向我的另一台设备发送一些视频文件。嗅探后,如何获取准确的视频文件? Wireshark 可以显示 Hex 格式的分段数据包。您能否提及许多其他工具的其他名称?
  • 尝试查看菜单。分析 -> 重组 TCP 流

标签: tcp tcpdump


【解决方案1】:

正如 David Hoelzer 所建议的,您首先需要确保启用 TCP 重组。很可能已经存在,但您可以通过“编辑 -> 首选项 -> 协议 -> TCP -> 允许子解析器重新组装 TCP 流” 来验证这一点。如果发生 IP 分段,您还应该验证是否启用了 IP 重组:“编辑 -> 首选项 -> 协议 -> IPv4|IPv6 -> 重组分段的 IPv4|IPv6 数据报”

但这并不是全部,因为这不会为您提取完整的文件(对象)。不过,Wireshark 确实支持通过“文件 -> 导出对象” 功能提取某些协议的对象,特别是 DICOM、HTTP、IMF、SMB 和 TFTP。因此,如果您的文件是通过其中一种协议传输的,那么您很幸运,有机会使用 Wireshark 提取它;否则,您将不得不找到除 Wireshark 之外的另一个能够从数据包中提取对象的工具。

有关导出对象的更多详细信息,请参阅https://www.wireshark.org/docs/wsug_html_chunked/ChIOExportSection.html#ChIOExportObjectsDialog

如果 Wireshark 无法满足您的需求,请参阅 https://wiki.wireshark.org/Tools 了解您可能感兴趣的其他可能工具。

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2021-06-03
    • 1970-01-01
    • 2011-01-11
    • 1970-01-01
    • 2021-11-03
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode