Hvordan trekke ut en video fra Wireshark Capture

Som vi vet, er Wireshark et veldig nyttig open source nettverksverktøy. Det er mange måter vi kan bruke Wireshark -verktøyet. En av bruken er å få et hvilket som helst antall filer (media, binær, http, gif, png, tekstfil osv.) tilbake fra Wireshark -pakkene. Det er som å sende noen data over nettverket og deretter fange pakkene i Wireshark. Nå, når vi gjør noen omvendt ingeniørfag, kan vi få tilbake de samme dataene som ble sendt over nettverket.

I denne artikkelen lærer vi hvordan vi kan få tilbake hvilken som helst mediefil fra Wireshark Capture. La oss først forstå forutsetningen for denne aktiviteten.

Forutsetning:

Det er noen forutsetninger for å utføre dette fordi vi ikke bare kan ta en tilfeldig wireshark -fangst og begynne å bruke de samme trinnene for å trekke ut mediefilen.

1. Vi bør vite at noen videoramme blir fanget i Wireshark -filen.
2. Det må være HTTP -rammer. Selv om vi ikke er sikre på om vi kan gjøre det for HTTPS, siden vi ikke kan dekryptere HTTPS på grunn av SSL -kryptering.
3. Vi bør også kjenne utvidelsen av filen som ".mpeg ”. Ellers kan vi prøve noen annen videoutvidelse. Det kan også fungere.
4. Fangsten skal ha nok pakker til å få noen data eller mediefil.

Trinn for å trekke ut videofilen

I fangsten vår vet vi allerede at det er videostreamingpakker. Vi kan også se videostrømmen HTTP -pakker over TCP i fangstfilen. Så i henhold til forutsetningslisten, har vi noe håp om å få en mediefil.

Her er Sniffer Capture -filen:

Trinn 1: Finn ut en passende TCP -strøm
La oss bruke “HTTP” -filteret i Wireshark for å få alle HTTP -rammer. Deretter kan vi komme videre.

Her er utgangen:

Her:

• Pakke nummer 7 er en http få forespørsel. Her er nettadressen:
  [Full forespørsel URI: http: // line.Protv.CC: 8000/LIVE/8F694E5C5F/C014C2C945/1026.ts]
• Pakke nummer 11 er HTTP -svaret som sier: "HTTP 302 funnet".
  Statuskode: 302 og fildata: 0 byte
  Vi kan ikke få ytterligere data fra denne rammen.

  Dette er ikke de nødvendige rammene. La oss se neste ramme.

• Pakke nummer 18 er en annen http få forespørselsramme.
  [Full forespørsel URI [avkortet]: http: // 82.199.136.35: 8080/live/8f694e5c5f/C014c2c945/1026.tStoken = tkbabudbfv
  8qaaveBwakaldbuvvuv1aduwzxuwrqawqhb1zcbatwaqysshovqefrufq
  8xwiucvbvb1bjeezcbec9wwawcrvxbgvvdv/niwhxzfua5trawcvfwcx1
  Yhawftgubcdvarducaa]

  I denne rammen kan vi se overføringskontrollprotokollen der Kildeport er 44940 og Destinasjonsport er 8080.

  Fjern nå "HTTP" -filteret i Wireshark. Da kan vi se at alle ytterligere TCP -rammer er med samme portnumre. Nå får vi noen påkrevde TCP -rammer. Disse rammene kan være nyttige.

Trinn 2: Følg TCP -strømmen
Nå, høyreklikk på ramme nummer 18. Klikk deretter på Følg. Klikk deretter på TCP -strømmen.

Trinn 3: TCP -strømvindu
Vi vil se ett nytt vindu på toppen av det faktiske Wireshark -vinduet som i følgende skjermbilde:

Vi la også merke til at en “TCP.Stream Eq 2 ”-filter brukes på Wireshark bakvindu.

La oss nå gå tilbake til frontvinduet.

Trinn 4: ASCII til RAW
I dette vinduet er "Vis data som" valgt som "ASCII". Vi må endre dette til “rå”.

Etter å ha valgt "rå", her er utgangen:

Trinn 5: Lagre råfilen
Lagre dette råinnholdet i systemet vårt med et filnavn med utvidelse ved å klikke på "Lagre som". Eksempel på et filnavn med utvidelse: “Video.mpeg ”

Lukk Wireshark Front -vinduet. Dette kreves ikke mer.

Trinn 6: Spill videoen
Gå til stedet og spill videoen på KMPlayer (vi brukte denne mediespilleren). Nå spiller det uten feil. Det er fotballkamp mellom int og shk.

Her er følgende skjermbilde:

Dette betyr at vi hentet ut videoen fra Wireshark -pakker.

Konklusjon

Slik kan vi trekke ut en video eller en streaming live video fra en wireshark -fangst. Vi lærte en ny ting ved hjelp av Wireshark. Dette hjelper oss å bruke de samme trinnene på en annen fangst og få en annen type data.