使用Wireshark导出数据包中的文件

最新推荐文章于 2025-04-04 10:33:02 发布
最新推荐文章于 2025-04-04 10:33:02 发布
阅读量2.5k 收藏 24
点赞数 23
分类专栏: Wireshark 文章标签: wireshark 测试工具 网络 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011186532/article/details/144586379
版权

简述        

        Wireshark 是一款功能强大的网络协议分析工具,它能够捕获和分析网络中的数据包。除了基本的流量捕获与分析外,Wireshark 还提供了导出对象功能,允许用户从网络数据流中提取和保存特定协议的数据文件。在本文中,我们将介绍如何使用 Wireshark 导出常见协议(如 DICOM、FTP、TFTP、SMB、IMF 和 HTTP)中的文件,并分享一些实际操作示例。

什么是导出对象功能

        导出对象功能是 Wireshark 提供的一项强大功能,允许用户从网络流量中提取传输的数据文件。它支持多种协议,包括 DICOM、HTTP、FTP、TFTP、SMB、IMF 等。通过这一功能,我们不仅可以分析网络流量,还能够恢复传输中的文件,特别是在进行网络诊断、数据恢复或网络安全分析时,极为有用。

支持的协议

        以下是我们将在本文中介绍的几种常见协议,它们都可以通过 Wireshark 的导出对象功能来提取文件:

1. DICOM (数字成像和通信医学)

2. FTP (文件传输协议)

3. TFTP (简单文件传输协议)

4. SMB (服务器消息块)

5. IMF (互联网邮件格式)

6. HTTP (超文本传输协议)

软件版本

        当前使用的Wireshark版本为4.4.2。

如何导出不同协议中的文件

DICOM

        DICOM 是一种广泛用于医学图像的格式,常用于医院的影像传输与存储。Wireshark 可以通过捕获 DICOM 协议的数据流并导出其中的文件来恢复这些图像数据。

导出 DICOM 文件:

1. 打开 Wireshark,加载捕获的网络数据包文件。

2. 选择 文件 > 导出对象 > DICOM。

3. 在弹出的窗口中,你会看到所有 DICOM 对象的列表,选择需要的文件。

4. 点击保存文件。

        DICOM 文件通常包含医学图像,例如 CT 扫描或 X 光图像,导出后可以在支持 DICOM 格式的查看器中打开。目前没有相关的数据包,无法验证。

 FTP

        FTP 是一种广泛用于在客户端与服务器之间传输文件的协议。Wireshark 可以捕获 FTP 会话并导出通过该协议传输的文件。

导出 FTP 文件:

1. 启动 Wireshark 并加载包含 FTP 流量的数据包。

2. 选择 文件 > 导出对象 > FTP。

3. 你将看到所有通过 TFTP 传输的文件,选择文件并导出。

4. 保存文件到指定目录。

        在上图中,点击保存即可导出FTP中传输的txt文件。

扩展思路:

        在过滤器中输入ftp-data,即可看到FTP文件传输相关的数据包。

         选择一条报文,右键选择追踪流 > TCP Stream:

        在追踪流页面调整一下显示编码,即可实现如下效果:

        发现FTP中传输的文件内容被展现出来了。这里仅仅是针对文本文件的演示,其它类型的文件内容可能无法识别。

TFTP

        TFTP 是一种简单的文件传输协议,常用于设备之间的固件或配置文件传输。Wireshark 可以捕获 TFTP 数据包并导出传输的文件。

导出 TFTP 文件:

1. 启动 Wireshark 并加载包含 TFTP 流量的数据包。

2. 选择 文件 > 导出对象 > TFTP。

3. 你将看到所有通过 TFTP 传输的文件,选择文件并导出。

4. 保存文件到指定目录。

SMB

        SMB 协议用于网络中的文件共享和打印服务。在网络共享环境中,Wireshark 可以捕获 SMB 协议的数据包并导出文件。

导出 SMB 文件:

1. 打开 Wireshark,加载包含 SMB 流量的捕获文件。

2. 选择 文件 > 导出对象 > SMB。

3. 你将看到所有通过 SMB 协议共享的文件,选择你想要的文件。

4. 点击保存,将文件保存到本地磁盘。

        SMB 协议常用于 Windows 网络共享,因此,导出的文件通常是共享的文件资源,如文档、图像和程序文件。

IMF

        IMF 协议主要用于邮件传输,尤其是在通过 SMTP、POP 或 IMAP 协议进行的邮件交换过程中。Wireshark 可以捕获邮件流量并提取其中的附件。

导出 IMF 文件:

1. 在 Wireshark 中加载包含邮件传输数据的捕获文件。

2. 选择 文件 > 导出对象 > IMF。

3. 你会看到邮件附件的列表,选择所需的文件。

4. 点击保存,将邮件以及其中的附件导出。

导出IMAP邮件:

导出SMTP邮件:

        导出当前邮件到桌面后,生成了一个SMTP.eml文件,使用foxmail查看邮件内容:

        其中的附件内容也被还原出来了:

HTTP

        HTTP 是最常见的网络协议之一,广泛用于网页浏览、文件下载等。Wireshark 可以提取 HTTP 流量中的文件资源,如图片、视频、CSS 文件等。

导出 HTTP 文件:

1. 在 Wireshark 中加载包含 HTTP 流量的数据包。

2. 选择 文件 > 导出对象 > HTTP。

3. 你将看到所有通过 HTTP 协议传输的对象,选择你想要导出的文件。

4. 点击保存文件。

扩展 - 导出SSL证书文件

        导出SSL证书文件,请查看我写的另一篇文章:

Wireshark 导出SSL证书icon-default.png?t=O83Ahttps://blog.csdn.net/u011186532/article/details/126748881?spm=1001.2014.3001.5501

总结

        Wireshark 的导出对象功能为网络分析、数据恢复和安全审计提供了极大的便利。通过这项功能,用户可以轻松提取 DICOM、FTP、TFTP、SMB、IMF 和 HTTP 等协议中的文件,并将它们保存为本地文件。无论是分析网络流量、恢复丢失的数据文件,还是进行网络安全分析,Wireshark 都能帮助你高效地完成任务。掌握这些导出技巧,能够让你更好地利用 Wireshark 这一强大工具,提升你的网络分析能力。

Cyberchef配合Wireshark提取并解析TCP/FTP流量数据包中的文件
村中少年的专栏
11-14 526
通过cyberchef还原pcap数据包中TCP上层的文件内容,提升wireshark分析数据包的效率
Wireshark 输出 数据包列表本身的值
HJQD777的博客
02-17 1217
Wireshark 中,如果你想输出数据包列表本身的值(例如,将数据包的摘要信息、时间戳、源地址、目的地址等导出为文本格式),可以使用 导出为纯文本文件 的功能。◦ Summary + Details + Data:导出摘要信息、详细解析信息以及数据内容。• Packet Range:选择要导出数据包范围(例如,所有数据包、选定数据包等)。◦ Summary:仅导出数据包的摘要信息(时间戳、源地址、目的地址、协议等)。在数据包列表中,你可以选择单个或多个数据包,或者直接导出所有数据包
【电子取证】Wireshark教程:从流量包中导出文件
longxintec的博客
06-04 4260
在某些情况下,消息是使用未加密的SMTP发送的,我们可以从感染主机的流量中导出这些邮件消息。使用wireshark打开例1.pacp文件使用http.request过滤流量包,找到两个GET请求,第一个请求以doc文件结束,第二个请求以exe文件结束。在进行网络流量分析中,往往需要从获取到的流量包中导出文件,进行更仔细的检查。使用wireshark打开例3.pacp文件,点击文件导出对象—SMB,就可以导出SMB流量中的文件。保存后的eml文件,可以使用邮件客户端进行查看,或者使用文本编辑器进行查看。
Wireshark】通过wireshark抓取的流量还原文件(以zip为例)
最新发布
小陈的博客
04-04 517
wireshark打开流量包,通过zip关键字查找追踪流可查看详细信息选中media Type右键, 点击导出分组字节流选项将生成的文件进行命名,需要时什么格式就以什么格式后缀。
【shiro】shiro反序列化漏洞综合利用工具v2.2(下载、安装、使用
小王的技术库
04-03 528
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等。④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking。③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现。③常见协议解析(HTTP、TCP/IP、ARP等)④等保简介、等保规定、流程和规范。③网络安全运营的概念。
WireShark数据对象导出分析方法
Fly_鹏程万里
10-20 7228
网络安全是当今互联网时代中不可忽视的问题,随着网络技术的不断发展,网络攻击手段也变得越来越复杂和隐蔽,因此网络安全工作者需要具备一定的技术能力和工具使用能力,其中WireShark是一款广泛使用网络协议分析工具,可以帮助用户深入了解网络数据包的传输过程,从而提高网络安全防护的能力。本文将介绍WireShark的对象导出功能,帮助读者更好地利用这一功能进行网络数据包分析和安全防护工作。
wireshark抓包数据提取
04-24
wireshark导出日志中DATA提取工具代码。过滤掉多余信息,只提取出数据包里面的data数据。
wireshark 导出指定数据包
hbspring007的专栏
06-05 6549
数据包回放时,如果我们只想将pcap包中的部分数据进行回放,怎么办呢, 首先使用wireshark打开文件, 在过滤器中进行过滤,比如我只想要tcp.stream eq 0的数据,可以如下操作: 过滤好数据,然后依次操作 文件=>导出特定分组=>文件名称。写好就行了,比如test.pcap   最后到指定的目录下打开相应文件,检查是否与预期一致;   注意: 如果只想导出一个包,上图中的“仅选中分组” 选中即可。 ...
wireshark 导出指定tcp流的数据包
guoguangwu的专栏
03-31 9197
数据包回放时,如果我们只想将pcap包中的部分数据进行回放,怎么办呢, 首先使用wireshark打开文件, 在过滤器中进行过滤,比如我只想要tcp.stream eq 0的数据,可以如下操作: 过滤好数据,然后依次操作 文件=>导出特定分组=>文件名称。写好就行了,比如test.pcap 最后到指定的目录下打开相应文件,检查是否与预期一致; ...
导出 wireshark 网络包二进制数据的三种方法
weixin_32015301的博客
12-28 415
Wireshark 是一款很好用的 UI 抓包工具,在 Windows、macOS 上都可以使用。最近开发的一个统计日志上报功能,发送的网络请求明明可以收到 server 正确的响应,但却捞取不到相关的日志,于是想到用 Wireshark 抓包分析内容,看看是哪里出问题了。 图中 Data 部分就是我们关心的数据包,想要进一步分析,需要将它导出为原始的二进制文件,这里一共有三种方法,下面分别说...
使用wireshark导出rtpdump文件步骤
11-17
使用Wireshark导出RTPdump文件网络分析和故障排除过程中一个非常有用的技术,特别是在处理VoIP(Voice over IP)和音频/视频流通信时。RTP(Real-time Transport Protocol)是互联网上用于实时数据传输的一套标准...
WireShark抓包文件.rar
05-16
1、AMR声码器RTP网络包 2、NVOC声码器RTP网络包 3、H264格式RTP网络包 4、SIP协议RTP网络
wireshark导出h264文件
01-05
使用抓包工具抓取rtp数据,通过wireshark脚本将抓取的rtp数据解析出h264数据并保存成文件,可用于视频开发的调试工具。
wireshark lua 插件 解析提取网络报文传输内容(文本,多媒体,等信息)
12-14
1. windows 下 安装 wiresshark (2.2.6测试没有问题)版本最好是最新的版本 老版本好像会报一个tshark错误 2. 安装好wiresshark后的目录(**/**/Wireshark)下创建一个 lua 文件夹。把root3.0放在当前文件夹下 并解压 3. 在wiresshark目录下 init.lua 文件目录添加上一行 dofile(DATA_DIR.."lua/robotV3_0/robot.lua") 4. 最好用tshark 命令读包。 tshark.exe -q -r 报文路径 注意: windows 下最好是不用的时候把 init.lua dofile(DATA_DIR.."lua/robotV3_0/robot.lua") 这行注释掉。要不然会产生很多文件拖延文件打开速度 {liunx 下也可以 不过要加上一个环境变量。否则会报找不到文件。具体的太久了忘记了!!}
Wireshark抓取的数据包.7z
03-08
EtherCAT主站SOEM -- 22 -- Wireshark抓取并分析EtherCAT数据,需要用到的数据包;...我自己使用 Wireshark抓取的数据包。 主要有两个包: BEIFU-倍福TwinCAT主站进行抓取数据。 Kinco-op-SOEM主站进行抓取数据。
python wireshark_用python编写脚本从wireshark导出的数据文件中提取数据
weixin_30124601的博客
02-03 2089
上篇文章搭建了一个UDP多播程序的基础,所谓基础,就是看着它,我可以写简单的多播程序了,可以在这个基础上面开始工作了。会多播了,多播的内容从哪里来,播出什么内容呢?呵呵,有个设备,没有通讯协议,用wireshark抓包,分析协议,编程实现之,这就是此次多播的任务。启动wireshark,抓取数据包导出为文本文件,三五十兆的文件,ultraedit搜索,观察,眼睛都看直了,有设备通讯数据,还有上网...
Wireshark 导出特定分组
u011186532的专栏
09-18 8616
本文主要介绍如何通过wireshark导出你所需的数据包
Wireshark抓取的数据包文件提取
热门推荐
xiaopan233的博客
05-02 5万+
(第一种方法 直接使用wireshark自带的导出) 分离图片文件wireshark在指定的数据流中提取文件很简单。先选中要提取文件数据包。wrieshark都会标明文件的类型。所以我们也就能够区分出这是一个什么类型的文件。 选中图片的数据一大行 右键,导出数据包导出文件起个名字。然后保存即可。 成功从wrieshark中分离出了图片 分离...
Wireshark如何单独导出包的列信息
03-27 718
Wireshark如何单独导出包的列信息 Wireshark提供了丰富的数据包导出功能。用户可以将数据包按照需要导出为各种格式。这些格式文件包含了包的各种信息。但是很多时候,用户只需要获取包的特定...
如何使用Wireshark还原RSYNC传输文件
12-14
使用Wireshark还原RSYNC传输文件是一个复杂的过程,需要对网络协议数据包分析有一定的了解。以下是一个基本的步骤指南: 1. **捕获数据包**: - 打开Wireshark并选择正确的网络接口进行捕获。 - 启动RSYNC传输并确保Wireshark正在捕获数据包。 2. **过滤数据包**: - 在Wireshark的过滤器中输入`tcp.port == 873`(假设RSYNC使用默认端口873),以仅显示RSYNC相关的数据包。 - 或者使用更具体的过滤器,例如`rsync`协议过滤器(如果Wireshark支持)。 3. **分析数据包**: - 找到RSYNC的握手数据包,通常是客户端和服务器之间的初始通信。 - 查找包含文件数据的数据包,这些数据包通常包含实际的文件内容。 4. **提取文件数据**: - 选中包含文件数据的数据包。 - 右键点击数据包并选择“导出分组字节”或“Follow TCP Stream”。 - 将数据保存到一个文件中。 5. **重组文件**: - 由于RSYNC传输的数据可能是分片的,需要将所有数据片段按顺序重组。 - 可以使用脚本或工具来自动化这个过程,例如使用Python脚本读取保存的字节数据并按顺序写入文件。 6. **验证文件**: - 将重组后的文件与原始文件进行比较,确保文件完整性。 - 可以使用校验和或其他验证方法来确认文件内容。 以下是一个简单的Python脚本示例,用于将提取的数据包数据写入文件: ```python import os def reconstruct_file(data_packets, output_file): with open(output_file, 'wb') as f: for packet in data_packets: f.write(packet) # 假设data_packets是从Wireshark提取的数据包数据列表 data_packets = [...] # 替换为实际的数据包数据 output_file = 'reconstructed_file' reconstruct_file(data_packets, output_file) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Quz

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值