Материал просмотрен 10,862 раз(а)

Всем привет! Продолжаю знакомство с WireShark.
Вайршарк можно найти на нашей файлопомойке, на всякий случай вот ссылка.

Сегодня мы будем учиться восстанавливать файлы, переданные по сети имея дамп трафика.

Прежде всего, откроем учебный дамп с захваченным трафиком FTP. Открываем файл стандартно, File -> Open.

Вот, что мы увидим. P.S. Ссылку на скачивание этого файла (2 Мб) я выложил выше, можете воспользоваться своим примером.

Образец трафика

Образец трафика

Кликом правой кнопкой мыши на первом пакете мы получим контекстное меню, в котором нужно выбрать пункт Follow TCP Stream, то есть собрать воедино всю сессию:

Собираем сессию

Собираем сессию

Здесь мы увидим окно, в котором отражены все FTP-команды и ответы, которые передавались в этой сессии. Обратим внимание на выделенные участки.

  1. Запрашиваем размер файла “OS Fingerpringing with ICMP.zip”. Сервер сообщает: 610078 байт (позднее мы это проверим);
  2. Запрашиваем передачу этого файла.
История команд FTP

История команд FTP

Итак, нас интересует этот файл (предположим), поэтому очищаем фильтр (если он не пуст) и смотрим дамп. Вот я выделил место, где передавалась команда RETR (получение файла), а следом – открылась новая сессия на порт FTP-DATA, т.е. передача данных. Собираем эту сессию по известной схеме (см. выше).

Собираем сессию передачи данных

Собираем сессию передачи данных

Здесь уже малочитаемый вариант, какие-то закорючки вместо текста. Это нам и нужно, будем сохранять эти данные в RAW формате в файл.

Сохраняем в файл

Сохраняем в файл

В качестве имени можем дать все, что угодно. Но помним из истории команд, что передавался ZIP-архив. Я назвал его 1.zip и поместил на рабочий стол. Вы можете сделать так же.

Сохранили файл на рабочий стол

Сохранили файл на рабочий стол

Теперь файл можно открыть! Как видите, это реальный ZIP-архив, внутри которого находятся другие файлы. Вполне возможно таким же образом восстанавливать передачу изображений по HTTP-протоколу, HTML-код веб-страниц и т.д.

Архив рабочий

Архив рабочий

Надеюсь, эти знания будут вами использоваться во благо. А теперь, кстати, обратите внимание на размер полученного архива. В точности до байта совпадает со значениями, отданными сервером.

Дальше в этом дампе есть ещё несколько передач файлов, например PDF. Попробуйте восстановить все сессии передачи данных (FTP-DATA).

Друзья! Вступайте в нашу группу Вконтакте, чтобы не пропустить новые статьи! Хотите сказать спасибо? Ставьте Like, делайте репост! Это лучшая награда для меня от вас! Так я узнаю о том, что статьи подобного рода вам интересны и пишу чаще и с большим энтузиазмом!

Также, подписывайтесь на наш канал в YouTube! Видео выкладываются весьма регулярно и будет здорово увидеть что-то одним из первых!