Angenommen, ich habe ein Wireshark-Protokoll des Datenverkehrs einer Website.
Kann ich verschiedene Elemente wie HTML-Dateien, Bilddateien, JavaScript-Dateien usw. rekonstruieren?
Im Idealfall würde es die PCAP-Datei nehmen und automatisch einzelne Dateien generieren.
Antwort1
Warum möchten Sie es auf diese Weise tun? Etwas, das nicht ganz auf dem Niveau ist?
Persönlich habe ich noch kein Programm gesehen, das dem von Ihnen beschriebenen gleicht.
Wenn man darüber nachdenkt, wäre dies in der Praxis eine ziemlich schwierige Aufgabe und am besten aus gesicherten Quelldaten abzurufen. Die erfassten Pakete wären aufgrund von Fensterung und erneuten Übertragungen usw. wahrscheinlich nicht in derselben Reihenfolge.
Je nach dem Wert der Informationen, die Sie zu rekonstruieren versuchen (z. B. strafrechtliche oder forensische Fragen), investiere ich möglicherweise Zeit und Mühe.
Antwort2
Vorausgesetzt, der Client verwendet für jedes heruntergeladene Element einen neuen TCP-Stream, können Sie dies mit Wireshark tun.
Verwenden Sie die Option „TCP-Stream folgen“ im Rechtsklickmenü jedes TCP-Streams. Dadurch erhalten Sie alle an dieser Sitzung beteiligten Pakete. Ändern Sie unten im Dialogfeld das Dropdown-Menü „Gesamte Konversation“, sodass nur der Datenverkehr vom Server zum Client angezeigt wird.
Anschließend können Sie im RAW-Format speichern und dabei jedes Mal den entsprechenden Dateinamen auswählen.
Antwort3
Ich bin auf diesen Artikel gestoßen, der zu beschreiben scheint, wie Sie das tun, was Sie versuchen:
https://blog.rootshell.be/2009/04/15/forensics-reconstructing-data-from-pcap-files/