wireshark 有一個很不錯的功能,就是 Follow TCP Stream (跟蹤TCP傳輸控制協議的通信資料段,將分散傳輸的資料組裝還原)

舉個例子

我用ftp去抓一個檔案回來,並且wireshark 側錄封包

1。我在第一個封包滑鼠按右鍵,選擇 Follow TCP Stream

2。這個功能會幫你整理出你可以看的懂的資訊(抓出跟這一個封包所有相關的封包拼揍起來),而這些資訊就是ftp連線的溝通方式(指令),假如你會用telnet 的話,打紅色字就等於是用ftp下載軟體一樣



3。每按一次 follow tcp stream 就會作一次filter,台面上的顯示就只會有你filter過後的,所以要再看全部的話,按它右邊有個 clear 就好了

4。我有抓一個png圖片檔,那我怎麼從wireshark 抓到的這些封包裡面去還原它。

5。從這一堆封包裡先找關鍵字,FTp 抓資料的指令是 RETR,會看到 RETR cp.png,再往下,FTP抓資料 wireshark 會在protocal 顯示它為 FTP-DATA,按 Follow TCP Stream (隨便一個皆可按,就算按最後一個也可以)

6。組合起來就可以在左上角看到 PNg的字樣(可以更確定就是這個了),然後在右下角要選擇 Raw (預設會是ASCII),Save as 一樣存成 xxx.png 檔

7。就可以看到還原後的檔案,一模一樣

最後修改日期: 2010 年 04 月 25 日

作者

留言

請問這部分能用cmd指令做到嗎

[Reply]

cross Reply:

這是個好問題,我還真的沒研究到
不過要用 cmd 可能會有困難度吧

[Reply]

撰寫回覆或留言

發佈留言必須填寫的電子郵件地址不會公開。