複数のパッケージからFTPデータをエクスポートする方法

Question

私はこれを解決するために何時間も努力してきました。マニアックのようにグーグルでも。複数のパッケージからFTPデータをエクスポートするにはどうすればよいですか？ WiresharkでHTTPパッケージをエクスポートする場合と同様に、数回クリックするだけで、すべてのパッケージを1つのファイルにエクスポートしてHTMLページを開くことができます。

あなたは（FTPを介して）.zipファイルをダウンロードし、これをWiresharkで捕まえたとします。今は、.zipファイルを含むすべてのFTPデータパッケージを.zipファイルのコピーにエクスポートします。どうやってやるの？私はすべてのパッケージhexdumpsを（私はそれが呼ばれているものだと思う）を取得するために管理し、それは次のようになります。

0000 00 50 56 ca 11 d8 00 50 18 03 39 80 08 00 45 00 .PV....P..9...E. 
0010 04 34 06 34 40 00 2d 06 d3 6f c1 e7 ec 2a c0 a8 .4.4@.-..o...*.. 
etc... 

たぶん私は何とかそれを変換することができますか？それとも別の方法がありますか？

Answer 1

Broを使用すると、FTPトラフィック（およびその他のプロトコルも含む）からファイルを抽出できます。

bro -r trace.pcap 'FTP::extract_file_types = /.*/' 

このパターンは、抽出するファイルのMIMEタイプを制御します。ネットワークインターフェイスでスニッフィングする場合は-r <trace>を-i <interface>に変更してください。 Broは、実行中の同じディレクトリにログファイルを作成します。基本ログに加えて、FTPデータのペイロードを含む

ftp-item_<SERVER-IP>:<SERVER-DATA-PORT>-<CLIENT-IP>:<CLIENT-PORT>.dat 

という名前のファイルが見つかります。