Wie man FTP-Daten aus mehreren Paketen exportiert

Question

Ich habe seit Stunden versucht, dies zu lösen. Googeln wie ein Wahnsinniger. Wie exportiere ich die FTP-Daten aus mehreren Paketen? Wie beim Export von HTTP-Paketen in Wireshark, können Sie mit wenigen Klicks alle Pakete als Einzeldateien in eine Datei exportieren und dann einfach die HTML-Seite öffnen.

Nehmen wir an, Sie haben eine .zip-Datei (über FTP) heruntergeladen und Sie haben dies mit Wireshark bemerkt. Jetzt möchte ich alle diese FTP-Datenpakete mit der ZIP-Datei in eine Kopie der ZIP-Datei exportieren. Wie kann ich das machen? Ich schaffte es, alle Hexdumps zu bekommen (ich glaube, das ist, was sie genannt wird) der Pakete, und es sieht wie folgt aus:

0000 00 50 56 ca 11 d8 00 50 18 03 39 80 08 00 45 00 .PV....P..9...E. 
0010 04 34 06 34 40 00 2d 06 d3 6f c1 e7 ec 2a c0 a8 .4.4@.-..o...*.. 
etc... 

Vielleicht kann ich das irgendwie umwandeln? Oder gibt es einen anderen Weg?

Answer 1

Sie können Bro verwenden, um Dateien aus dem FTP-Datenverkehr (und anderen Protokollen) zu extrahieren. Führen Sie es einfach wie folgt aus:

bro -r trace.pcap 'FTP::extract_file_types = /.*/' 

Das Muster steuert den MIME-Typ der zu extrahierenden Dateien. Ändern Sie -r <trace> zu -i <interface> beim Sniffing auf einer Netzwerkschnittstelle. Bro erstellt Protokolldateien in demselben Verzeichnis, in dem es ausgeführt wird. Zusätzlich zu den grundlegenden Logs finden Sie jetzt Dateien mit dem Namen

ftp-item_<SERVER-IP>:<SERVER-DATA-PORT>-<CLIENT-IP>:<CLIENT-PORT>.dat 

, die die Nutzdaten der FTP-Daten enthalten.