我写了一个c#程序,它在pcap文件中找到facebook消息。但现在它不起作用。
我的程序正在寻找
"application/json" and "\"msg\":{\"text\""
ipv4数据包中的字符串。
但昨天我注意到没有这样的数据包正在发送。现在我可以通过搜索
来区分Facebook聊天数据包而不是这些"/ajax/chat/send.php"
但是这个字符串仅用于传出消息。对于传入的消息,我无法找到任何关键字符串。 有什么想法吗?
答案 0 :(得分:1)
ipv4数据包中的应用程序数据(HTTP聊天数据)可以分段,即单个ipv4数据包可能不包含完整字符串“application / json”或“\”msg \“:{\”text \“”。
更好的方法是捕获更高级别的HTTP流量(由pcap预先准备)。以下是有关HTTP流量嗅探的相关信息 - https://serverfault.com/questions/84750/monitoring-http-traffic-using-tcpdump
拥有HTTP流量转储后,您可以以更一致的方式解析消息,并确保碎片不是问题