Я хочу написать сниффер прикладного уровня (SMTP/ftp/http).
Основываясь на моих поисках, первым (и, возможно, самым сложным!) шагом является повторная сборка tcp-потока перехваченных соединений.
Действительно, мне нужно что-то вроде опции wireshark «следовать TCP-потоку», но мне нужен инструмент, который делает это в живом интерфейсе и автоматически. Насколько мне известно, Tshark может автоматически извлекать данные потоков TCP из сохраненных файлов pcap (ссылка), но не из активных интерфейсов. Может ли Tshark делать это на живых интерфейсах???
Насколько я знаю, TCPflow может делать именно то, что я хочу, однако он не может обрабатывать дефрагментацию IP и соединения SSL (я хочу проанализировать содержимое SSL в случае, если у меня есть закрытый ключ сервера).
Наконец, я также пробую сетевой монитор братана. Хотя он предоставляет список TCP-соединений (conn.log), мне не удалось получить содержимое TCP-соединений.
Любое предложение об упомянутых инструментах или любом другом полезном инструменте приветствуется.
Заранее спасибо, Дэн.