tcp - 如何重组 tcpdump 看到的特定设备 IP 的 IP 分段数据包

正如 David Hoelzer 所建议的，您首先需要确保启用 TCP 重组。很可能已经存在，但您可以通过"Edit -> Preferences -> Protocols -> TCP -> Allow subdissector to reassemble TCP streams"来验证这一点。如果发生 IP 分段，您还应该验证 IP 重组是否已启用："Edit -> Preferences -> Protocols -> IPv4|IPv6 -> Reassemble fragmented IPv4|IPv6 datagrams"。

但这不是全部，因为这不会为您提取完整的文件（对象）。Wireshark 确实支持通过“文件 -> 导出对象”功能提取某些协议的对象，特别是 DICOM、HTTP、IMF、SMB 和 TFTP。因此，如果您的文件是通过其中一种协议传输的，那么您很幸运并且有机会使用 Wireshark 提取它；否则，您将不得不找到除 Wireshark 之外的另一个能够从数据包中提取对象的工具。

有关导出对象的更多详细信息，请参阅https://www.wireshark.org/docs/wsug_html_chunked/ChIOExportSection.html#ChIOExportObjectsDialog。

如果 Wireshark 无法满足您的需求，请参阅https://wiki.wireshark.org/Tools了解您可能感兴趣的其他可能工具。