wireshark 的應用之封包還原檔案

wireshark 有一個很不錯的功能，就是 Follow TCP Stream (跟蹤TCP傳輸控制協議的通信資料段，將分散傳輸的資料組裝還原)

舉個例子

我用ftp去抓一個檔案回來，並且wireshark 側錄封包

1。我在第一個封包滑鼠按右鍵，選擇 Follow TCP Stream

2。這個功能會幫你整理出你可以看的懂的資訊(抓出跟這一個封包所有相關的封包拼揍起來)，而這些資訊就是ftp連線的溝通方式(指令)，假如你會用telnet 的話，打紅色字就等於是用ftp下載軟體一樣

3。每按一次 follow tcp stream 就會作一次filter，台面上的顯示就只會有你filter過後的，所以要再看全部的話，按它右邊有個 clear 就好了

4。我有抓一個png圖片檔，那我怎麼從wireshark 抓到的這些封包裡面去還原它。

5。從這一堆封包裡先找關鍵字，FTp 抓資料的指令是 RETR，會看到 RETR cp.png，再往下，FTP抓資料 wireshark 會在protocal 顯示它為 FTP-DATA，按 Follow TCP Stream (隨便一個皆可按，就算按最後一個也可以)

6。組合起來就可以在左上角看到 PNg的字樣(可以更確定就是這個了)，然後在右下角要選擇 Raw (預設會是ASCII)，Save as 一樣存成 xxx.png 檔

7。就可以看到還原後的檔案，一模一樣