Wireshark: Speichern der einzelnen Responses einer HTTP-Session
A. Dreyer
ml10227 at adreyer.com
Wed Sep 1 15:56:06 CEST 2010
On Wed, 01 Sep 2010, Jan-Benedict Glaw wrote:
> Hallo!
>
> Ich hab' gestern abend ein wenig gesniffert und finde eine
> Funktionalität in Wireshark nicht, von der ich kaum glauben mag, daß
> sie noch nicht implementiert ist.
>
> Gesniffert wurde eine HTTP-Verbindung, über die dank "Connection:
> Keep-Alive" mehrere Requests und Responses gelaufen sind. Die
> einzelnen Responses (die ich folgend nur noch als "Dateien" bezeichne)
> sind jeweils zur Übertragung auf HTTP-Ebend gzip-komprimiert. Mein
> Ziel war es nun, mir die einzelnen Dateien unkomprimiert angucken zu
> können und diese auch zu speichern.
>
> Das Angucken geht--halbwegs. Wenn gerade ein passendes Paket angezeigt
> wird, filtert Wireshark dazu sowohl die Connection als auch den
> jeweiligen Request und kann sowohl die GZIP-Daten als auch die
> eigentliche Datei (ein Brocken JavaScript) anzeigen. Letzteres
> passiert allerdings mehr oder weniger in einem Hex-Dump. Nicht sehr
> übersichtlich, wenig geeignet zum Lesen & Verstehen.
>
> Was ich überhaupt nicht finde, ist eine Möglichkeit, diesen halbwegs
> lesbaren Text denn auch zu speichern. Nichtmal Markieren+Kopieren des
> Hexdumps geht (dann hätt' ich das ja auch fix konvertiert.) Muß man da
> wirklich noch selbst was basteln, um die einzelnen Dateien, die in
> einer HTTP-Session übertragen worden sind, sinnvoll anschauen und
> speichern zu können? Vermutlich find' ich nur nicht den passenden
> Knopf :)
Hmm, ich markiere ein Paket der Kommunikation, dann "Analyze" > "Follow TCP STream" > "Save as"..
Das erzeugt mir eine Datei das Header und die Binärdaten der übertragung enthält. Mit Binray-Editor dann die Header raus und gzip -dc .. geht aber selten da oft chunked-data..
Am besten einfach mal schauen ob eines der genannten Tools sich für deine Zwecke eignet:
http://tcpxtract.sourceforge.net/
http://isc.sans.edu/diary.html?storyid=6961
Ciao,
Achim
--
Achim Dreyer
Senior Unix & Network Admin
--
This message has been scanned for viruses and
dangerous content by MailScanner, and is
believed to be clean.
More information about the Linux
mailing list