1. дома
  2. Вопрос и ответ
  3. Как восстановить данные из файла pcap?

Как восстановить данные из файла pcap?

2010-06-07 8 views

ответ

4
  1. Использование библиотеки Pcap (libpcap, WinPcap, Pcap.Net)
  2. Извлечь TCP через IP через Ethernet.
  3. Восстановить поток TCP (см. Reconstructing data from PCAP sniff).
  4. Сохраните данные потока TCP в файл.

Попробуйте некоторые инструменты реконструкции TCP PCAP:

http://www.codeproject.com/KB/IP/TcpRecon.aspx

http://code.google.com/p/pcap-reconst/

источник

2010-06-08 20:50:25 brickner

+0

Итак, я использовал 'tshark', чтобы узнать, сколько потоков находится в этом файле pcap и адресах src/dst. Далее я использую 'tshark' для захвата пакетов только для определенного адреса src/dst и записи их в другой файл pcap. Наконец, я написал программу, используя 'libpcap', чтобы извлечь полезную нагрузку каждого пакета и записать его в' some.mpg' Теперь мне нужно проверить этот файл 'mpg', чтобы убедиться, что он не поврежден. Но я не знаю, как это сделать. – dscTobi

+0

Если вы извлекаете только полезную нагрузку, этого может быть недостаточно. Вам необходимо восстановить данные в соответствии с порядковыми номерами. Если вы проверите порядковые номера TCP и другие параметры, это должен быть допустимый файл (как если бы вы его загрузили с помощью TCP). Я не знаю, как проверить файл mpg, но я уверен, что есть много программного обеспечения, которое это делает. Любой игрок MPG может сообщить вам ... – brickner

0

Вы можете проверить следующую ссылку для спецификации understad PCAP: PCAP especification

Этот сайт может быть полезен для вас: tcpdump.org

Также вы можете использовать C++ библиотеки: libpcap++

источник

2010-06-07 17:53:54 barroco

+0

Файл вы перечисляете как "PCAP especification" на самом деле спецификация для PCAP-нг-файлов; файл, о котором идет речь, - pcap, а не pcap-ng. libpcap может читать файлы pcap; libpcap 1.1.0 и более поздние версии также могут читать некоторые файлы pcap-ng. Программа, которая использует libpcap, может с помощью libpcap 1.1.0 и более поздних версий читать файлы pcap и pcap-ng без необходимости их изменения для поддержки pcap-ng; использование libpcap означает, что вам не нужно знать, как структурируются файлы pcap или pcap-ng. –

2

Есть инструменты, разработанные для достижения своей цели, некоторые из них с открытым исходным кодом, например:

источник

2012-05-07 07:08:02

 Смежные вопросы

  • Нет связанных вопросов^_^