Wie verwende ich tshark drucken Anfrage-Antwort-Paare aus einer pcap-Datei?

Gegeben eine pcap-Datei, ich bin in der Lage, extrahieren Sie eine Menge Informationen aus den rekonstruierten HTTP-Anfrage und Antworten über die ordentlich Filter von Wireshark. Ich habe auch schon in der Lage,teilen Sie die pcap-Datei in jedes TCP-stream.

Mühe, ich in jetzt ist, dass von all den coolen Filter, ich bin in der Lage, die Verwendung mit tshark, ich kann nicht finden, eine, die wird mich lassen, drucken Sie die vollständige Anfrage/Antwort stellen. Ich nenne so etwas:

 tshark -r dump.pcap -R "tcp.stream==123 and http.request" -T fields -e http.request.uri

Gibt es einige filter-Namen kann ich pass auf -e um das request/response-body? Der nächste, den ich habe, ist die Verwendung der -V Flagge, aber es gibt auch eine Reihe von Informationen, die ich nicht nötig, die wollen und wollen vermeiden, dass Sie Unordnung mit einem "dumb" - filter.

  • Was war das snarflen der ursprünglichen Aufnahme. Wenn Sie nicht sammeln, das volle packet Sie haben vermutlich die Daten.
  • Die Bilder waren in Ordnung. Die MTU auf dem interface, die ich verwendet wurde 1514 und ich habe eine Aufnahme von 1600. Ich öffnete die pcap in Wireshark und einzelne request-response-Paare als streams; ich war gerade auf der Suche nach einem Weg, um ein Skript für Sie.
  • Cool - nur der Ausschluss der offensichtlichste
  • Was ist mit TShark option -O (-O-Protokolle: Nur-Karte packet details dieser Protokolle, durch Komma getrennt) $ tshark -r clmt_04.pcap -R "http.Anforderung oder http.- Antwort - " - V -O, http > http.txt
  • Denke, das würde mehr Sinn machen, auf SO oder SF.
  • XU: möchten Sie mit TShark den export der http-Objekte? AFAIK ist das nicht möglich im moment.

InformationsquelleAutor Steven | 2012-01-18
  1. 8

    Wenn Sie bereit sind, wechseln Sie zu einem anderen Werkzeug, tcptrace können dies tun, mit der -e option. Es hat auch eine HTTP-analysis extension (xHTTP option) erzeugt, dass der HTTP-request/response verwendet werden-Paare für jeden TCP-stream.

    Hier ist ein Beispiel:

    tcptrace --csv -xHTTP -f'port=80' -lten capturefile.pcap
    • --csv zu formatieren Sie die Ausgabe wie comma sperated variable
    • -xHTTP für HTTP-Anforderung/Antwort geschrieben 'http.mal' das schaltet auch auf -e dump der TCP-stream-Nutzlasten, so dass Sie wirklich brauchen Sie nicht -e als auch
    • -f'port=80' heraus zu filtern und nicht-web-traffic
    • -l für lange Ausgabe
    • -t, um mir Fortschrittsanzeige
    • -n ausschalten hostname-Auflösung (viel schneller ohne diese)
    • Ich verwendet tcptrace. Es ist ziemlich viel versprechend. Danke! Aus irgendeinem seltsamen Grund, nur mit tcptrace -e my.dump nicht trennen-Anfragen korrekt. Ich vermute, dies ist nur ein Fall von mir, etwas falsch zu machen, da Wireshark macht das gleiche Aufteilung ganz gut, also werde ich poke ein bisschen mehr. Wenn Sie hatte einen one-liner auf der Oberseite des Kopfes zu extrahieren, die Anfrage-Antwort-Paare aus einem standard-pcap-Datei (leider mit einer Handvoll der cut-off-Pakete), ich bin ganz Ohr :).
    • Hinzugefügt ein Beispiel - das funktioniert für mich, aber ich bin sicher, Sie laufen in Probleme wenn yu haben abgeschnitten Pakete
    • Dies ist perfekt für mich, unter VORBEHALT, dass ich brauche auch die genaue Zeitangabe der Anforderung zugesandt bekam. Ich bin versucht zu reproduzieren, ein Szenario, wo ich zu senden, die Sachen zur gleichen Zeit, wie es geschah bisher.
    InformationsquelleAutor rupello
  2. 3

    Wenn erfasst Sie eine pcap-Datei, können Sie Folgendes tun, um alle Anfragen+Antworten.

    filename="capture_file.pcap"
for stream in `tshark -r "$filename" -2 -R "tcp and (http.request or http.response)" -T fields -e tcp.stream | sort -n | uniq`; do
    echo "==========BEGIN REQUEST=========="
    tshark -q -r "$filename" -z follow,tcp,ascii,$stream;
    echo "==========END REQUEST=========="
done;

    Ich habe gerade diyism Antwort ein bisschen einfacher zu verstehen (Sie müssen nicht per sudo, und mehrzeiliges Skript ist imo einfach zu schauen)

    InformationsquelleAutor edi9999
  3. 0

    Ich diese Linie benutzen, um zu zeigen, letzten 10 Sekunden Anfrage Körper-und response-body(https://gist.github.com/diyism/eaa7297cbf2caff7b851):

    sudo tshark -a duration:10 -w /tmp/input.pcap;for stream in `sudo tshark -r /tmp/input.pcap -R "tcp and (http.request or http.response) and !(ip.addr==192.168.0.241)" -T fields -e tcp.stream | sort -n | uniq`; do sudo tshark -q -r /tmp/input.pcap -z follow,tcp,ascii,$stream; done;sudo rm /tmp/input.pcap
    InformationsquelleAutor diyism
Schreibe einen Kommentar