Es gibt diverse Möglichkeiten, um Daten aus dem Netzwerkverkehr zu extraieren. Dies funktioniert beispielsweise für SIP mit Wireshark ganz einfach. Aber es lassen sich auch andere Informationen herausziehen. Nur um es klar zu stellen, es geht um die Rekonstruktion der Daten, resp. Dateien, selbst.
Mit wireshark kann dies mit einem graphischen Werkzeug erledigt werden. Unter File -> Export Objects -> HTTP
Image may be NSFW.
Clik here to view.
Clik here to view.
HTTP object list
Image may be NSFW.
Clik here to view.
Clik here to view.
Extraiertes Bild
Mein bevorzugter Weg ist mit bro, da dieses Werkzeug immer noch weiterentwickelt wird.
$ bro -r data.pcap 'HTTP::extract_file_types = /.*/'
driftnet kann dies ebenfalls für diesen Zweck verwendet werden.
$ sudo driftnet -i em1 -a -d extract
Auch tcpxtract bietet File carving-Funktionalität. Es unterstützt viele Formate.
$ sudo tcpxtract -d em1 -o extract
