Утилита chaosreader (http://chaosreader.sourceforge.net) позволяет выделить пользовательские данные из лога tcpdump.
Например, можно сохранить переданные по FTP файлы, картинки запрошенные по HTTP, сообщения электронной почты переданные по SMTP,
ключи переданные в SSH сессии.
Дополнительно поддерживается выделение данные из дампа трафика различных туннелей, 802.11b и PPPoE.Передав утилите chaosreader на вход накопленный дамп, на выходе получим html файл с анализом пересылок
и ссылками на встретившиеся в сессии файлы.
Собираем лог:
tcpdump -s9000 -w output1
Анализируем лог и выделяем все встретившиеся файлы:
chaosreader -ve output1
Анализируем только ftp и telnet трафик:
chaosreader -p 20,21,23 output1
Запускаем в режиме сниффера, сбрасывающего накопленные сессии 5 раз по 2 минуты каждая:
chaosreader -S 2,5
В комплект входит утилита replay, позволяющая вторично проиграть сценарий перехваченного telnet, rlogin, IRC, X11 или VNC сеансов.
Другие похожие утилиты:
* pcapsipdump (http://sourceforge.net/projects/psipdump) - выделение из потока SIP и RTP данных
для последующего прослушивания, каждая SIP сессия сохраняется в отдельный файл.
* smbsniff (http://www.hsc.fr/ressources/outils/smbsniff) - позволяет сохранять переданные по SMB/CIFS
протоколу файлы, присутствующие в перехваченном трафике;
* Tcpreplay(http://tcpreplay.synfin.net) - набор утилит для повторного инициирования сессий
на основе перехваченного трафика.
URL:
Обсуждается: http://www.opennet.dev/tips/info/1968.shtml