Wie verwende ich tshark drucken Anfrage-Antwort-Paare aus einer pcap-Datei?
Gegeben eine pcap-Datei, ich bin in der Lage, extrahieren Sie eine Menge Informationen aus den rekonstruierten HTTP-Anfrage und Antworten über die ordentlich Filter von Wireshark. Ich habe auch schon in der Lage,teilen Sie die pcap-Datei in jedes TCP-stream.
Mühe, ich in jetzt ist, dass von all den coolen Filter, ich bin in der Lage, die Verwendung mit tshark
, ich kann nicht finden, eine, die wird mich lassen, drucken Sie die vollständige Anfrage/Antwort stellen. Ich nenne so etwas:
tshark -r dump.pcap -R "tcp.stream==123 and http.request" -T fields -e http.request.uri
Gibt es einige filter-Namen kann ich pass auf -e
um das request/response-body? Der nächste, den ich habe, ist die Verwendung der -V
Flagge, aber es gibt auch eine Reihe von Informationen, die ich nicht nötig, die wollen und wollen vermeiden, dass Sie Unordnung mit einem "dumb" - filter.
- Was war das snarflen der ursprünglichen Aufnahme. Wenn Sie nicht sammeln, das volle packet Sie haben vermutlich die Daten.
- Die Bilder waren in Ordnung. Die MTU auf dem interface, die ich verwendet wurde 1514 und ich habe eine Aufnahme von 1600. Ich öffnete die pcap in Wireshark und einzelne request-response-Paare als streams; ich war gerade auf der Suche nach einem Weg, um ein Skript für Sie.
- Cool - nur der Ausschluss der offensichtlichste
- Was ist mit TShark option -O (-O-Protokolle: Nur-Karte packet details dieser Protokolle, durch Komma getrennt) $ tshark -r clmt_04.pcap -R "http.Anforderung oder http.- Antwort - " - V -O, http > http.txt
- Denke, das würde mehr Sinn machen, auf SO oder SF.
- XU: möchten Sie mit TShark den export der http-Objekte? AFAIK ist das nicht möglich im moment.
Du musst angemeldet sein, um einen Kommentar abzugeben.
Wenn Sie bereit sind, wechseln Sie zu einem anderen Werkzeug, tcptrace können dies tun, mit der -e option. Es hat auch eine HTTP-analysis extension (xHTTP option) erzeugt, dass der HTTP-request/response verwendet werden-Paare für jeden TCP-stream.
Hier ist ein Beispiel:
tcptrace -e my.dump
nicht trennen-Anfragen korrekt. Ich vermute, dies ist nur ein Fall von mir, etwas falsch zu machen, da Wireshark macht das gleiche Aufteilung ganz gut, also werde ich poke ein bisschen mehr. Wenn Sie hatte einen one-liner auf der Oberseite des Kopfes zu extrahieren, die Anfrage-Antwort-Paare aus einem standard-pcap-Datei (leider mit einer Handvoll der cut-off-Pakete), ich bin ganz Ohr :).Wenn erfasst Sie eine pcap-Datei, können Sie Folgendes tun, um alle Anfragen+Antworten.
Ich habe gerade diyism Antwort ein bisschen einfacher zu verstehen (Sie müssen nicht per sudo, und mehrzeiliges Skript ist imo einfach zu schauen)
Ich diese Linie benutzen, um zu zeigen, letzten 10 Sekunden Anfrage Körper-und response-body(https://gist.github.com/diyism/eaa7297cbf2caff7b851):