Wireshark

World's foremost and widely-used network protocol analyzer

Display Filters

# Busca por IP de origem
ip.src=192.168.0.150

# Busca por IP de destino
ip.dst=192.168.0.23

# Apenas quem respondeu com flags SYN, ACT
tcp.flags.syn==1 && tcp.flags.act==1

# Pesquisa por porta
tcp.port=22
tcp.dstport=21 #porta destino
tcp.srcport=21 #porta origem

# Pesquisa por conteúdo do pacote
tcp contains "SSH"

# Requests http por método
http.request.method eq "POST"

# Filtrar por bytes nos dados
frame contains 25:50:44:46:2d

Capture Filters

https://wiki.wireshark.org/CaptureFilters

# Capturar apenas de um IP
host 37.59.174.235

Exportar arquivos do pcap

Neste exemplo vamos ver como exportar um PDF que foi baixado via FTP.

Busca pelo pacote

Encontre o pacote com os dados onde está o arquivo.

Uma dica é procurar pelos bytes do cabeçalho do arquivo. Por exemplo: os PDFs começam com a seguinte sequência de bytes: 25 50 44 46 2d

Você pode ver a lista de assinaturas de arquivos NESTE LINK.

Você pode usar este filtro:

frame contains 25:50:44:46:2d

Exportando

Quando encontrar o pacote, clique o botão direito e vá em Follow > TCP Stream:

Agora troque a visualização para RAW e clique em Save as:

Salve o arquivo com o nome e extensão desejada (neste exemplo: manual.pdf)