如何从多个包导出FTP数据

我已经试了几个小时来解决这个问题。谷歌也像个疯子。如何从一堆包中导出FTP数据？就像在Wireshark中导出HTTP包一样，只需单击几下，就可以将所有包作为单个包导出到一个文件中，然后只需打开HTML页面

假设您下载了一个.zip文件（通过FTP），并通过Wireshark捕获了该文件。现在我想将所有包含.zip文件的FTP数据包导出到.zip文件的副本中。我该怎么做？我设法得到了所有的hextumps（我想这就是它的名字），它看起来是这样的：

0000  00 50 56 ca 11 d8 00 50 18 03 39 80 08 00 45 00   .PV....P..9...E.
0010  04 34 06 34 40 00 2d 06 d3 6f c1 e7 ec 2a c0 a8   .4.4@.-..o...*..
etc...

也许我能把它转换成某种形式？或者有其他方法吗？

您可以使用它从FTP通信（以及其他协议）中提取文件。只需按如下方式运行它：

bro -r trace.pcap 'FTP::extract_file_types = /.*/'

模式控制要提取的文件的MIME类型。在网络接口上进行嗅探时，将

-r

更改为

-i

。Bro在其正在运行的同一目录中创建日志文件。除了基本日志之外，现在还可以找到名为

ftp-item_<SERVER-IP>:<SERVER-DATA-PORT>-<CLIENT-IP>:<CLIENT-PORT>.dat

ftp-item_u:-：.dat

---

其中包含FTP数据的有效负载。

感谢您的回答，它看起来很有希望！但是我得到了这个错误：

，第1行（FTP:：extract_file_types）：错误，使用了“redef”，但以前没有定义过

，您介意尝试当前（

git clone--recursive吗git://git.bro-ids.org/bro.git

）？我在本地测试了这个调用，它适合我。在2.0版本之后，文件提取框架发生了一些更改。