问题描述
下载文本文件时,我拥有pcap文件的持续时间。如何使用python或c ++从此pcap文件重新创建原始文件。我对网络编程了解不多,并且正在尝试这样做以增强我的理解。任何帮助表示赞赏。
解决方法
这取决于pcap文件的外观。假设文本文件位于tcp层内的data字段中,则可以这样使用tshark:
$ myfile="traffic.pcap"
$ tshark -r $myfile -T fields -e data > myfile.txt
如果数据不是正确的字段,请使用wireshark查看数据包以查看数据包是否正确。如果数据实际上是加密的(这在HTTPS,SSH等中非常普遍),那么这是一个不同的问题。
使用这种策略,您还可能会从其他流量中获取无关的数据(您可能需要在pcap文件上使用display filter来获取您感兴趣的流量,因此您只需将文本文件封装在网络中标头,以便更轻松地导出)。