Реконструкция HTTP-пакета

ОК, я придумал, как это сделать (хитрый, но он выполняет свою работу).

Легко удалить заголовки Ethernet, IP и TCP, оставив вам сообщение с «сырыми» данными. Заглянув внутрь сообщения, легко определить, является ли оно началом HTTP-пакета, ища "HTTP/1.1..." в начале пакета. Это указывает на то, что пакет является началом потока HTTP/более крупного пакета/чего-либо. Вы также можете выполнить простой синтаксический анализ, чтобы прочитать поле Content-Length, которое представляет собой общую длину всего HTTP-пакета.

Вы также можете использовать IP-адрес и номер порта источника/назначения для формирования уникального идентификатора ссылки. Итак, после получения пакета заголовка обратите внимание на эти 4 вещи (SRCIP, SRCPORT, DESTIP, DESTPORT). В следующий раз, когда вы получите пакет, соответствующий этой комбинации порт/IP, вы можете проверить, является ли он следующей частью HTTP-пакета. Вы можете использовать порядковые номера для некоторой проверки и, возможно, других вещей, но обычно пакеты идут по порядку, так что все в порядке. Я думаю, что новый порт открывается для каждого потока HTTP, поэтому вы не должны получать случайные пакеты, которые не являются частью потока, но это может быть областью, подверженной ошибкам.

В любом случае, как только вы получили этот пакет, еще раз удалите заголовки и получите необработанное сообщение. Добавьте его к уже известной части сообщения. Если длина всего полученного сообщения равна длине, считанной из поля «Content-Length», пакет считается завершенным!

Этот метод, очевидно, подвержен огромному количеству ошибок, но мне не нужен чрезвычайно надежный способ сделать это. Я думал, что отвечу на свой вопрос, если кто-то еще столкнется с этой же проблемой в будущем! Удачи в нюхании :D

Вы не должны использовать какую-либо информацию с уровня TCP для определения границ HTTP-запросов. TCP обеспечивает надежную службу потока байтов; вы не можете увидеть какие-либо поля или флаги в TCP, которые помогают в этом, потому что их там нет.

Чтобы определить, где находятся границы в HTTP-запросе, вы должны следовать RFC 2616. Границы четко определены, и вы можете определить их, анализируя полученные данные.

В каждом TCP-пакете данные полезной нагрузки начинаются сразу после заголовка TCP, а конец данных полезной нагрузки совпадает с концом IP-пакета.

Конец заголовка TCP легко найти — Data Offset — это 4-битное поле в заголовке, которое содержит длину заголовка в 32-битных словах (поэтому умножьте его на 4, чтобы получить длину в 8-битных байтах).

Используйте порядковые номера TCP из поля Sequence, чтобы объединить полезные данные в правильном порядке. Обратите внимание, что в случае повторной передачи могут быть дубликаты.

TCP – это протокол потока, а не пакетного протокола. Прикладной уровень (то есть вы) получает поток данных, а не кучу пакетов. Вы просто продолжаете считывать байты из потока, и вы получите всю полезную нагрузку http, в то время как TCP выполняет проверку ошибок, повторную отправку и т. Д. Ниже.

Вы можете использовать код проекта с открытым исходным кодом под названием Xplico: http://www.xplico.org

Пришлось работать над решением той же проблемы. Мы смогли извлечь некоторые основные функции из проекта с открытым исходным кодом.

http://code.google.com/p/pcap-reconst/

Пожалуйста, проверьте это и дайте мне знать, если это поможет вам.