Y at-il un moyen d'enregistrer un TCP réassemblé dans Wireshark

Question

J'essaye de renifler une requête POST multi-partie en utilisant Wireshark. Lors de la visualisation de la capture, je peux sélectionner "Reassembled TCP" qui semble contenir l'en-tête et toutes les données dans la transmission. Cependant, je n'arrive pas à sélectionner le tout pour le sauver. Si je reviens à la vue du cadre, je peux sélectionner le cadre, qui sélectionne généralement l'ensemble de la transmission, mais il ne finira que sauvegarder les données de poste. Comment sauvegarder l'intégralité du TCP réassemblé?

Answer 1

Ok, un très simple. Il y a un en-tête après "Transmission Control Protocol (TCP)" et "Hypertext Transfer Protocol" appelé "[Segments TCP réassemblés]" qui permet de sauvegarder les segments TCP réassemblés. Note à moi-même pour élargir mon attention.

Answer 2

Utilisez l'option "Follow TCP stream": http://linuxonly.nl/docs/38/117_Wireshark.html

Answer 3

Fonctionne uniquement pour les flux HTTP, DICOM ou SMB, mais il existe maintenant une option "Export Objects". Vous pouvez y accéder à partir de File ->Export Objects ->HTTP.