如何重新组合tcpdump为特定设备IP看到的IP分段数据包

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了如何重新组合tcpdump为特定设备IP看到的IP分段数据包相关的知识,希望对你有一定的参考价值。

在混杂模式下,使用tcpdump(Wireshark有助于以十六进制格式查看数据包),我可以查看请求的不同数据包(不是完整有意义的数据)并获得连接到WiFi路由器的不同设备。

但是,如何重新组合特定设备IP的所有数据包,以获取该设备请求和获取的有意义数据?

有现成的解决方案吗?

答案

正如David Hoelzer建议的那样,您首先需要确保启用TCP重组。很可能已经是,但您可以通过“编辑 - >首选项 - >协议 - > TCP - >允许子数据库重新组合TCP流”来验证这一点。如果发生IP碎片,您还应验证是否已启用IP重组:“编辑 - >首选项 - >协议 - > IPv4 | IPv6 - >重新组合碎片IPv4 | IPv6数据报”。

但这不是全部,因为这不会为您提取完整的文件(对象)。 Wireshark确实通过“文件 - >导出对象”功能支持某些协议的对象提取,特别是DICOM,HTTP,IMF,SMB和TFTP。因此,如果您的文件是通过其中一个协议传输的,那么您很幸运并有机会使用Wireshark提取它;否则你将不得不找到除Wireshark之​​外的另一个工具,它能够从数据包中提取对象。

有关导出对象的更多详细信息,请参阅https://www.wireshark.org/docs/wsug_html_chunked/ChIOExportSection.html#ChIOExportObjectsDialog

如果Wireshark无法满足您的需求,请参阅https://wiki.wireshark.org/Tools以了解您可能感兴趣的其他可能工具。

以上是关于如何重新组合tcpdump为特定设备IP看到的IP分段数据包的主要内容,如果未能解决你的问题,请参考以下文章

tcpdump抓包命令

tcpdump 高级过滤方式

tcpdump的表达元

网络抓包 tcpdump 使用指南

如何在 tcpdump 中捕获 TCP/IP 碎片?

如何在同一网络上以编程方式获取其他支持Wifi的设备的IP地址?