18,356
社区成员
发帖
与我相关
我的任务
分享下载邮件附件,用wireshark抓包,如何提取其中的附件?
我从web邮箱里下载一个20多K的附件,此过程使用wireshark进行数据包捕获,从捕获结果中发现附件的数据由23个IP包组合而成,我想用程序实现23个IP包的组合,从而恢复附件。如何实现呢?
...全文
请发表友善的回复…
发表回复
blackboycpp 2010-02-27
- 打赏
- 举报
1. 将IP数据包从cap文件中取出, cap文件格式很简单
2. 把这23个IP包进行分片重装(如果有分片的话)
3. 对TCP报文段进行处理, 如处理失序,丢包等
4. 将TCP中协议号为邮件协议号的数据载荷取出,并放入一文件中
5. 对载荷文件进行分析还原。
2. 把这23个IP包进行分片重装(如果有分片的话)
3. 对TCP报文段进行处理, 如处理失序,丢包等
4. 将TCP中协议号为邮件协议号的数据载荷取出,并放入一文件中
5. 对载荷文件进行分析还原。
langyano1 2010-02-27
- 打赏
- 举报
引用楼上的,楼上的正解,补充一下:
1. 将IP数据包从cap文件中取出,cap文件格式很简单 这最好不要是IP的,而用这条TCP连接的,这样就能滤去此IP 与服务IP通信中其它没用信息
pzf_2008 2010-02-27
- 打赏
- 举报
楼上的两位朋友阐述很精辟,本菜鸟仍有不明之处,请赐教!问题如下:
1、分析WireShark抓的包,发现每个IP包均没有分片(即IP头的分段标志域的第二位均为1)。不知道是不是WireShark在抓包时已经自动把分片的IP包进行了重组而呈现出来的假象?
2、TCP中协议号为邮件协议号怎么来查找和判断?从IP包能够找到协议号为邮件协议号的关键字吗?
3、如何取出协议号为邮件协议号的数据载荷并进行还原呢?
1、分析WireShark抓的包,发现每个IP包均没有分片(即IP头的分段标志域的第二位均为1)。不知道是不是WireShark在抓包时已经自动把分片的IP包进行了重组而呈现出来的假象?
2、TCP中协议号为邮件协议号怎么来查找和判断?从IP包能够找到协议号为邮件协议号的关键字吗?
3、如何取出协议号为邮件协议号的数据载荷并进行还原呢?
