简述
Wireshark 是一款功能强大的网络协议分析工具,它能够捕获和分析网络中的数据包。除了基本的流量捕获与分析外,Wireshark 还提供了导出对象功能,允许用户从网络数据流中提取和保存特定协议的数据文件。在本文中,我们将介绍如何使用 Wireshark 导出常见协议(如 DICOM、FTP、TFTP、SMB、IMF 和 HTTP)中的文件,并分享一些实际操作示例。
什么是导出对象功能
导出对象功能是 Wireshark 提供的一项强大功能,允许用户从网络流量中提取传输的数据文件。它支持多种协议,包括 DICOM、HTTP、FTP、TFTP、SMB、IMF 等。通过这一功能,我们不仅可以分析网络流量,还能够恢复传输中的文件,特别是在进行网络诊断、数据恢复或网络安全分析时,极为有用。
支持的协议
以下是我们将在本文中介绍的几种常见协议,它们都可以通过 Wireshark 的导出对象功能来提取文件:
1. DICOM (数字成像和通信医学)
2. FTP (文件传输协议)
3. TFTP (简单文件传输协议)
4. SMB (服务器消息块)
5. IMF (互联网邮件格式)
6. HTTP (超文本传输协议)
软件版本
当前使用的Wireshark版本为4.4.2。
如何导出不同协议中的文件
DICOM
DICOM 是一种广泛用于医学图像的格式,常用于医院的影像传输与存储。Wireshark 可以通过捕获 DICOM 协议的数据流并导出其中的文件来恢复这些图像数据。
导出 DICOM 文件:
1. 打开 Wireshark,加载捕获的网络数据包文件。
2. 选择 文件 > 导出对象 > DICOM。
3. 在弹出的窗口中,你会看到所有 DICOM 对象的列表,选择需要的文件。
4. 点击保存文件。
DICOM 文件通常包含医学图像,例如 CT 扫描或 X 光图像,导出后可以在支持 DICOM 格式的查看器中打开。目前没有相关的数据包,无法验证。
FTP
FTP 是一种广泛用于在客户端与服务器之间传输文件的协议。Wireshark 可以捕获 FTP 会话并导出通过该协议传输的文件。
导出 FTP 文件:
1. 启动 Wireshark 并加载包含 FTP 流量的数据包。
2. 选择 文件 > 导出对象 > FTP。
3. 你将看到所有通过 TFTP 传输的文件,选择文件并导出。
4. 保存文件到指定目录。
在上图中,点击保存即可导出FTP中传输的txt文件。
扩展思路:
在过滤器中输入ftp-data,即可看到FTP文件传输相关的数据包。
选择一条报文,右键选择追踪流 > TCP Stream:
在追踪流页面调整一下显示编码,即可实现如下效果:
发现FTP中传输的文件内容被展现出来了。这里仅仅是针对文本文件的演示,其它类型的文件内容可能无法识别。
TFTP
TFTP 是一种简单的文件传输协议,常用于设备之间的固件或配置文件传输。Wireshark 可以捕获 TFTP 数据包并导出传输的文件。
导出 TFTP 文件:
1. 启动 Wireshark 并加载包含 TFTP 流量的数据包。
2. 选择 文件 > 导出对象 > TFTP。
3. 你将看到所有通过 TFTP 传输的文件,选择文件并导出。
4. 保存文件到指定目录。
SMB
SMB 协议用于网络中的文件共享和打印服务。在网络共享环境中,Wireshark 可以捕获 SMB 协议的数据包并导出文件。
导出 SMB 文件:
1. 打开 Wireshark,加载包含 SMB 流量的捕获文件。
2. 选择 文件 > 导出对象 > SMB。
3. 你将看到所有通过 SMB 协议共享的文件,选择你想要的文件。
4. 点击保存,将文件保存到本地磁盘。
SMB 协议常用于 Windows 网络共享,因此,导出的文件通常是共享的文件资源,如文档、图像和程序文件。
IMF
IMF 协议主要用于邮件传输,尤其是在通过 SMTP、POP 或 IMAP 协议进行的邮件交换过程中。Wireshark 可以捕获邮件流量并提取其中的附件。
导出 IMF 文件:
1. 在 Wireshark 中加载包含邮件传输数据的捕获文件。
2. 选择 文件 > 导出对象 > IMF。
3. 你会看到邮件附件的列表,选择所需的文件。
4. 点击保存,将邮件以及其中的附件导出。
导出IMAP邮件:
导出SMTP邮件:
导出当前邮件到桌面后,生成了一个SMTP.eml文件,使用foxmail查看邮件内容:
其中的附件内容也被还原出来了:
HTTP
HTTP 是最常见的网络协议之一,广泛用于网页浏览、文件下载等。Wireshark 可以提取 HTTP 流量中的文件资源,如图片、视频、CSS 文件等。
导出 HTTP 文件:
1. 在 Wireshark 中加载包含 HTTP 流量的数据包。
2. 选择 文件 > 导出对象 > HTTP。
3. 你将看到所有通过 HTTP 协议传输的对象,选择你想要导出的文件。
4. 点击保存文件。
扩展 - 导出SSL证书文件
导出SSL证书文件,请查看我写的另一篇文章:
Wireshark 导出SSL证书
https://blog.csdn.net/u011186532/article/details/126748881?spm=1001.2014.3001.5501
总结
Wireshark 的导出对象功能为网络分析、数据恢复和安全审计提供了极大的便利。通过这项功能,用户可以轻松提取 DICOM、FTP、TFTP、SMB、IMF 和 HTTP 等协议中的文件,并将它们保存为本地文件。无论是分析网络流量、恢复丢失的数据文件,还是进行网络安全分析,Wireshark 都能帮助你高效地完成任务。掌握这些导出技巧,能够让你更好地利用 Wireshark 这一强大工具,提升你的网络分析能力。