在混杂模式下,使用tcpdump(Wireshark有助于以十六进制格式查看数据包),我可以查看请求的不同数据包(不是完整有意义的数据)并获得连接到WiFi路由器的不同设备。
但是,如何重新组合特定设备IP的所有数据包,以获取该设备请求和获取的有意义数据?
有现成的解决方案吗?
正如David Hoelzer建议的那样,您首先需要确保启用TCP重组。很可能已经是,但您可以通过“编辑 - >首选项 - >协议 - > TCP - >允许子数据库重新组合TCP流”来验证这一点。如果发生IP碎片,您还应验证是否已启用IP重组:“编辑 - >首选项 - >协议 - > IPv4 | IPv6 - >重新组合碎片IPv4 | IPv6数据报”。
但这不是全部,因为这不会为您提取完整的文件(对象)。 Wireshark确实通过“文件 - >导出对象”功能支持某些协议的对象提取,特别是DICOM,HTTP,IMF,SMB和TFTP。因此,如果您的文件是通过其中一个协议传输的,那么您很幸运并有机会使用Wireshark提取它;否则你将不得不找到除Wireshark之外的另一个工具,它能够从数据包中提取对象。
有关导出对象的更多详细信息,请参阅https://www.wireshark.org/docs/wsug_html_chunked/ChIOExportSection.html#ChIOExportObjectsDialog。
如果Wireshark无法满足您的需求,请参阅https://wiki.wireshark.org/Tools以了解您可能感兴趣的其他可能工具。