Supongamos que tengo un registro de tráfico de Wireshark desde un sitio web.
¿Puedo reconstruir varios elementos como archivos HTML, archivos de imágenes, archivos de script java, etc.?
Lo ideal sería tomar el archivo .pcap y generar automáticamente archivos individuales.
Respuesta1
¿Por qué querrías hacerlo de esta manera? ¿Algo que no llega al nivel?
Personalmente no he visto ningún programa como el que usted describe.
Al pensar en esto, sería práctico una tarea bastante difícil y la mejor manera de obtenerla es a partir de datos fuente respaldados. Es probable que los paquetes capturados no estén en el mismo orden debido a ventanas, retransmisiones y similares.
Podría dedicar tiempo y esfuerzo dependiendo del valor subyacente de la información que usted intenta construir (es decir, cuestiones criminales o forenses).
Respuesta2
Siempre que el cliente utilice una nueva secuencia TCP para cada elemento descargado, puede hacerlo con Wirehark.
Utilice la opción Seguir secuencia TCP del menú contextual en cada una de las secuencias TCP. Esto le dará todos los paquetes involucrados en esa sesión. En la parte inferior del cuadro de diálogo, cambie el menú desplegable "Conversación completa" para que solo incluya el tráfico del servidor al cliente.
Luego puede guardarlo como Raw, eligiendo el nombre de archivo apropiado cada vez.
Respuesta3
Me encontré con este artículo, que parece describir cómo hacer lo que estás intentando hacer:
https://blog.rootshell.be/2009/04/15/forensics-reconstructing-data-from-pcap-files/