1. घर
  2. सवाल और जवाब
  3. टीसीपी प्रवाह निष्कर्षण

टीसीपी प्रवाह निष्कर्षण

2009-09-06 14 views
5

मुझे अपनी सामग्री के साथ डंप फ़ाइल से टीसीपी प्रवाह निकालने की आवश्यकता है और फिर प्रत्येक प्रवाह को अलग-अलग प्रवाह में अन्य प्रवाह में सहेजना है, क्या कोई इसे संसाधित करने के लिए कोई उपकरण जानता है?टीसीपी प्रवाह निष्कर्षण

मैं वास्तव में किसी भी मदद

हनीह रजबी के लिए वास्तव में सराहना करता हूं।

स्रोत

2009-09-06 Anonymous

उत्तर

1

Wire shark शायद? इसका उपयोग सत्रों को फ़िल्टर करने के लिए किया जा सकता है और मुझे लगता है कि आप उन्हें अलग से बचा सकते हैं।

स्रोत

2009-09-06 06:57:47 Cellfish

6

यदि आप केवल कुछ कर रहे हैं, Wireshark ऐसा कर सकते हैं।

कदम:

  1. Wireshark में कब्जा खोलें। आप में रुचि रखते हैं TCP कनेक्शन से एक पैकेट पर
  2. क्लिक करें
  3. का विश्लेषण करें -> टीसीपी का पालन स्ट्रीम
  4. क्लिक करें 'कच्चे'
  5. चुनें (पॉपअप मेनू से) 'पूरी बातचीत' या एक से एक दो दिशाओं में से।
  6. 'सहेजें पर क्लिक के रूप में'

वैकल्पिक कदम, केवल HTTP के लिए:

  • फ़ाइल का चयन करें

    1. कब्जा खोलें -> निर्यात -> वस्तुओं -> HTTP
    2. एक संवाद कैप्चर में सभी HTTP ऑब्जेक्ट्स दिखाना खुल जाएगा। आप उनमें से कुछ या सभी को बचा सकते हैं।

    यह लिनक्स/जीटीके पर वायरशर्क 1.2.1 के साथ है। 'अनुवर्ती टीसीपी स्ट्रीम' विकल्प को संस्करणों के बीच चारों ओर स्थानांतरित कर दिया गया है, इसलिए यदि आपके पास पुराना संस्करण है तो यह कहीं और हो सकता है। लेकिन इसे हमेशा कहा जाता है टीसीपी स्ट्रीम का पालन करें ताकि आपको इसे ढूंढने में सक्षम होना चाहिए।

    त्वरित खोज से कई अन्य विकल्प भी सामने आते हैं यदि वायरशर्क आपके लिए काम नहीं करता है: ngrep, tcpick, chaosreader, और tcpflow।

    • स्रोत

    2009-09-06 06:57:47 derobert

    0

    आप NetFlow और संबंधित टूल पर भी देख सकते हैं।

    स्रोत

    2009-09-06 07:05:08

    6

    आप निश्चित रूप से Bro, अधिक विशेष रूप से, इसकी सामग्री.ब्रो नीति का उपयोग करना चाहते हैं। उदाहरण के लिए, एक निशान है कि HTTP अनुरोध, निम्नलिखित चल रहा होता है ...

    bro -r http.trace -f 'tcp and port 80' contents

    फ़ाइलों

    contents.[senderIP].[senderPort]-[destIP].[destPort] 
contents.[destIP].[destPort]-[senderIP].[senderPort]
    प्रत्येक कनेक्शन के लिए

    , प्रत्येक प्रवाह की दिशाहीन सामग्री युक्त दिया ... पैदा करता है।

    प्रवाह पुनर्विक्रेता अत्यधिक मजबूत है, प्रक्रिया बहुत बड़ी फाइलों के लिए स्केल करती है, और सब कुछ आपकी आवश्यकताओं के अनुकूल है।

    स्रोत

    2010-12-23 07:36:02 Christian

    +0

    यह किसी भी तरह काम नहीं करता है के साथ manpage है। मुझे कहीं भी 'content.bro' नहीं मिल रहा है। – nponeccop

    +0

    हाल ही में ब्रो रिलीज में, स्क्रिप्ट/बेस/प्रोटोकॉल/conn/content.bro की तलाश करें। – Christian

    1 
    tcpflow -r my_dump_file.pcap -o output_dir/

    यह प्रत्येक टीसीपी प्रवाह, अलग output_dir के तहत एक फ़ाइल में निकाल लेंगे,। प्रत्येक प्रवाह अपनी फाइल में।

    यहाँ और अधिक विकल्प

    स्रोत

    2016-05-10 09:55:08 Hibuki

    संबंधित मुद्दे

     संबंधित मुद्दे