如何使用tcpdump捕获流量并仅以原始二进制格式保存完整的有效负载(应用程序层数据,没有tcp / ip标头)?
最佳答案
捕获流量并将其以PCAP格式写入磁盘后,您可以
使用tcpflow将每个流分成单独的文件,然后运行文件
雕刻工具,例如最重要的雕刻流程文件
每个流的文件类型。下面的示例将提取Window PE
流中的文件和PDF:
$ tcpflow -r traffic.pcap -o flows/
$ cat flows/* > big.flow
$ foremost -t exe,pdf -i big.flow
能够提取常见文件类型的另一个工具是tcpxtract:
$ tcpxtract --file traffic.pcap -o output/
其他工具包括ChaosReader和Bro的File Analyzer。