Tcp会话重建与Winpcap
本文关键字:Winpcap 重建 会话 Tcp | 更新日期: 2023-09-27 18:12:52
我正试图从我的pcap文件重建tcp会话,这些文件使用winpcap捕获网络数据包。我有一个项目,将数据包拆分为会话。到目前为止,我可以从pcap文件中读取数据,并根据会话对数据包进行分组。
我想知道的是在这个操作之后我应该做什么。我认为,为了从这些会话中获取数据,我必须根据它们的序列号对这些数据包进行排序。我说的对吗?我是否需要额外的操作来构造tcp会话数据?我怎么知道哪些数据是图像,html或javascript?如有任何好的资源建议,我将不胜感激。
顺便说一下,我正在使用SharpPcap和Pcap。Net用于将数据包拆分为tcp会话。这些库是否足够tcp会话重建?
Net已经有了一个HTTP解析器,如果人们请求的话,它可能会被增强更多的功能。
关于TCP重建,欢迎您投票支持这个请求的功能,我希望在下一个版本中做到这一点。
TCP重建并不是那么微不足道,但是一旦您将数据包分组到TCP会话,对它们进行排序并删除重复项,它就会大部分工作。仍然有一些极端情况需要处理,这也取决于您接收数据包的线路的质量。
一旦你有了一个重构的流,你就可以使用Pcap。Net的HttpDatagram解析它
你基本上需要重新实现一个tcp/ip栈和一个http会话解析器。
Tcp数据包需要重新排序,并删除重复/无效的数据包。
需要处理这些数据包来识别http会话。数据的解压缩和报头处理可以让你识别mime类型。
Sharppcap或pcapdotnet单独应该为您想要做的工作提供基础。我相信sharppcap可以,因为我是作者。
我有一个与sharppcap一起工作的商业产品来做tcp跟随和http解析,chmorgan@gmail.com如果你对已经在其他商业产品中进行单元测试和使用的东西感兴趣。