网站接电话,免费字体设计 常见网站,谷歌网站英文,做网站和做软件哪个难本文将介绍一种手动的轻量级的方式#xff0c;还原HTTP/TLS协议中传输的文件#xff0c;为流量数据包中的文件分析提供帮助。
如果捕获的数据包中存在非文本类文件#xff0c;例如png,jpg等图片文件#xff0c;或者word#xff0c;Excel等office文件异或是其他类型的二进…本文将介绍一种手动的轻量级的方式还原HTTP/TLS协议中传输的文件为流量数据包中的文件分析提供帮助。
如果捕获的数据包中存在非文本类文件例如png,jpg等图片文件或者wordExcel等office文件异或是其他类型的二进制文件或者编码文件。如果想要了解这些非文本文件中的内容往往需要将这些文件提取出来使用特定的软件进行打开。
如何从PCAP或者pcapng数据包中提取这些文件内容在之前的文章中《自动还原pcap数据包中文件的几种方法》这里介绍了借助Wireshark本身的能力以及scapy等编程的方式还原数据包中的文件内容针对一些常见协议的批量化处理借助Wireshark已有的功能以及scapy编程都是不错的方式。但是此种方法存在如下问题
需要Wireshark能够支持某些传输文件协议的文件导出例如HTTPSMB等。但是如果Wireshark不支持该种协议的解析怎么办如果数据包中的文件数据不完整怎么办出现大量重传丢包等情况。Wireshark协议解析出错怎么办由于现实场景中Wireshark很多时候会解析出错,导出的文件也不乏错误场景。scapy编程方式需要针对每一种协议指定文件的开始和结束。对于一些scapy不能够解析的协议则并不容易在程序中识别文件的开始和结束。况且编程的方式需要针对每一种文件传输情况编写代码稍显繁琐。
如下将介绍针对HTTP以及TLS手动的轻量级还原文件的方法。
HTTP
wrieshark 本身提供了导出HTTP文件的能力如下图1 图1 如果该功能正常则可以直接使用。如果该功能不正常例如丢包或者数据不完整导致文件解析出现错误或者异常数据导致文件解析出错则无法直接导出这个时候本文所提供的方法就能派上用场。当然不仅如此后文中所介绍的方法在一些文件显示方面比值wireshark也是存在优势的。
提取图片文件
HTTP传输图片的数据包下载链接见这里对应第7号流如下图2 图2 首先拷贝文件传输的相关数据由于HTTP协议为文本协议因此cyberchef是支持对于HTTP协议头部的处理的因此follow TCP dump按照原始数据显示后全选拷贝作为cyeberchef 的输入关于cyberchef的详细介绍详见我的专栏《Cyberchef 从入门到精通教程 》这里如下图3 图3 RAW格式的显示内容为16进制的字符串因此需要先将16进制字符串转换成为对应的16进制数值即每两个字符构成一个十六进制的数值同时去除HTTP的头部则会得到最终的数据内容如下图4 图4 相关模块解释如下
from hex模块将字符串转换为对应的数值。第一个strip http headers 去除http request的头部第二个strip http header 去除http response的头部 。 -cyberchef提供的 render image模块可以直接解析并显示JPEG图像数据。 其对应的cyberchef的脚本为
[{ op: From Hex,args: [Auto] },{ op: Strip HTTP headers,args: [] },{ op: Strip HTTP headers,args: [] },{ op: Render Image,args: [Raw] }
]可以看到使用cyberchef 能够直接将16进制数据显示图像文件这个是其优点之一。
gzip压缩
前一个实例中HTTP并没有使用压缩传输这个例子讲述HTTP压缩传输的场景。关于Gzip的原理详见我之前的文章《网络传输中的那些编码之-gzip编码》这里。HTTP传输传使用gzip压缩数据包下载链接见这里。如下图5 图5 同样的follow tcp dump以raw格式显示之后全选作为cyberchef的输入如下图6 图6 同样的需要先将16进制字符串转换成为对应的16进制数值即每两个字符构成一个十六进制的数值去除HTTP的头部然后解压缩则会得到最终的数据内容如下图7 图7 如果对应的数据中使用了特殊的编码则可以使用cyberchef中的encoding模块进行相应的编解码。关于cyberchef的更多使用方法介绍详见我的专栏《Cyberchef 从入门到精通教程》这里
gzip/chunk
前一个实例中HTTP并没有使用chunk传输这个例子讲述HTTP chunk传输的场景。关于chunk传输的原理详见我之前的文章《网络传输中的那些编码之-chunk传输编码》这里。HTTP传输使用chunk和gzip数据包下载链接见这里。如下图8 图8 同样的follow tcp dump以raw格式显示之后全选作为cyberchef的输入如下图9 图9 将16进制字符串转换成为对应的16进制数值即每两个字符构成一个十六进制的数值去除HTTP的头部然后chunk重组解压缩则会得到最终的数据内容如下图10 图10 其对应的cyberchef的脚本为
[{ op: From Hex,args: [Auto] },{ op: Strip HTTP headers,args: [] },{ op: Strip HTTP headers,args: [] },{ op: Dechunk HTTP response,args: [] },{ op: Gunzip,args: [] }
]可以看到cyberchef对于HTTP协议的支持还是非常全面的因此在HTTP协议处理方面使用cyberchef非常的便捷。
TLS
和HTTP协议不同的是Wireshark并没有提供导出TLS证书的能力。在之前的文章中《提取pcap网络数据包中数字证书各属性字段信息》这里介绍了使用Wireshark lua插件提取流量中的数字证书这个在批量提取的场景下还是非常的便捷。但是有的时候只需要提取流量中少数的证书文件这个时候可以采用手动的方式。
TLS数据包下载链接见这里如下图11 图11 追踪流会显示该流上所有的数据由于我们只需要证书的数据因此可以直接拷贝wireshark解析的字段。
以hex stream拷贝作为cyberchef的输入如下图12 图12 将其另存为证书文件如下图13 图13 上述方式还原证书文件还是非常的方便和快捷适合还原少数证书的场景。
总的来说通过cyberchef和wireshark相配合能够提高分析pcap数据包的效率。
本文为CSDN村中少年原创文章未经允许不得转载博主链接这里。
