我想寫一個應用層嗅探器(SMTP/ftp/http)。如何寫http層嗅探器
根據我的搜索,首先(也許是最難!)的步驟是重新組裝sniffed連接的tcp流。
事實上,我需要的是類似wireshark的「遵循TCP流」選項,但我需要一個工具,它可以在實時界面上自動執行。據我所知,Tshark可以從保存的pcap文件中自動提取TCP流數據(link),但不能從實時接口中提取。 Tshark可以在現場接口上做到嗎?我知道,TCPflow可以做到我想要的,然而,它不能處理IP碎片整理和SSL連接(我想在我擁有服務器私鑰的情況下分析SSL內容)。
最後,我也嘗試bro網絡監視器。雖然它提供了TCP連接列表(conn.log),但我無法獲取TCP連接內容。
任何關於提到的工具或任何其他有用的工具的建議是值得歡迎的。
在此先感謝Dan。