Искам да напиша снифър на приложен слой (SMTP/ftp/http).
Въз основа на моите търсения, първата (и може би най-трудната!) стъпка е повторно сглобяване на tcp потока на надушените връзки.
Наистина, това, от което се нуждая, е нещо като опцията „следване на TCP поток“ на wireshark, но имам нужда от инструмент, който да го прави на жив интерфейс и автоматично. Както знам, Tshark може автоматично да извлича данни от TCP потоци от запазените pcap файлове (link), но не и от интерфейси на живо. Може ли Tshark да го направи на живи интерфейси???
Както знам, TCPflow може да прави точно това, което искам, но не може да обработва IP дефрагментиране и SSL връзки (искам да анализирам SSL съдържанието в случай, че имам частния ключ на сървъра).
И накрая, пробвам и брат мрежов монитор. Въпреки че предоставя списък с TCP връзки (conn.log), не успях да получа съдържанието на TCP връзките.
Всяко предложение относно споменатите инструменти или всеки друг полезен инструмент е добре дошъл.
Благодаря предварително, Дан.