3
tcpdump로 트래픽을 캡쳐하고 원시 바이너리 형식으로 전체 페이로드 (응용 프로그램 계층 데이터, tcp/ip 헤더 없음)를 저장하는 방법은 무엇입니까?tcpdump 만 사용하여 원시 바이너리 페이로드 저장
tcpdump로 트래픽을 캡쳐하고 원시 바이너리 형식으로 전체 페이로드 (응용 프로그램 계층 데이터, tcp/ip 헤더 없음)를 저장하는 방법은 무엇입니까?tcpdump 만 사용하여 원시 바이너리 페이로드 저장
트래픽을 캡처하고 PCAP 형식으로 디스크에 기록 후 할 수 있습니다 개별 파일로 각 흐름이 tcpflow를 사용하여 다음과 같은 특정 파일 형식을 개척 할 수있는 흐름 파일에 최우선으로 파일 조각 도구를 실행하는 별도의 각 스트림에서. 다음 예는 흐름에서 윈도우 PE에게 파일과 PDF 파일의 압축을 풉니 다 :
$ tcpflow -r traffic.pcap -o flows/
$ cat flows/* > big.flow
$ foremost -t exe,pdf -i big.flow
일반적인 파일 형식을 추출 할 수있는 또 다른 도구 tcpxtract입니다 :
$ tcpxtract --file traffic.pcap -o output/
다른 도구가 ChaosReader와 브로의 파일 분석기를 포함한다은 .
Tcpflow가 필요한 작업을 수행했습니다! 감사! -B 및 -C 플래그를 사용하면 TCP 페이로드에 원시 이진 데이터를 stdout에 쓸 수 있습니다. – user3207230