wireshark(와이어샤크)에서 FTP 서비스 전송된 파일 추출

Wireshark 에서 FTP 서비스로 전송된 파일을 추출하는 방법은 Wireshark -> File -> Export Objects 로 추출이 안되며 NetworkMiner 툴로도 추출이 안되는 것으로 확인됨

아래 방법으로 추출

먼저 필터에 ftp 를 입력하여 정확하게 어떤 파일들이 전송되었는지 확인

(해당 화면에서는 zip.zip 파일이라는 것을 확인)

그리고 필터에 ftp-data 를 입력하여 전송된 파일의 데이터를 추출함.

마지막 패킷에 오른쪽 마우스를 누른 후 Follow TCP Stream 를 누름

출력되는 데이터 스트링은 전송된 파일의 완전한 파일 데이터

해당 창의 Save As 를 눌러 파일을 저장하여 추출