僅嗅探/記錄應用程序層

Question

我正在尋找一種工具（最好在Linux上）可以嗅探UDP通信並僅記錄應用程序層到文件。

我不能讓tcpdump/wireshark這樣做，因爲他們總是寫下層的頭。 我嘗試使用snort（./snort -qd -l ./logs），但它仍然保存數據到文件，即使數據包中沒有應用程序層數據。

也許有人知道這樣的工具...

哦，和UDP流量也多播...

我也試過多巨災（VideoLAN的的）。他們聲稱這是多播的netcat。但我不知道，除了我使用netcat手動發送的有效載荷外，它還存儲了一些其他二進制垃圾（對我來說）... 任何熟悉multicat的人？

Answer 1

Wireshark具有解析大多數協議標題的過濾器，並且一定會識別UDP，IP，以太網等標題。我不知道你想用日誌記錄完成什麼，但是如果文件的格式很重要（即沒有頭文件應該存儲到文件中），你可以嘗試使用UDP代理。

使用netcat的，你可以不喜歡

nc -u -l 12345 | tee mydumpfile.out | nc -u target.example.com 12345 

你必須做反向以及傾倒雙向通信。如果您正在進行逆向工程，您可能還需要編輯/etc/hosts文件以將目標DNS名稱指向localhost。我爲TCP連接做了幾次，但是我沒有嘗試用於UDP，由於緩衝了管道數據，可能會出現數據包邊界等問題。

如果你想最大程度的控制，寫自己（這只是一個十幾行，如果你使用例如Python+Twisted）