Với tệp pcap, tôi có thể trích xuất nhiều thông tin từ yêu cầu HTTP được xây dựng lại và phản hồi bằng cách sử dụng neat filters provided by Wireshark. Tôi cũng đã có thể split the pcap file into each TCP stream.Làm cách nào để sử dụng tshark để in các cặp yêu cầu-phản hồi từ tệp pcap?
Sự cố tôi đang gặp phải là tất cả các bộ lọc tuyệt vời tôi có thể sử dụng với tshark
, tôi không thể tìm thấy bộ lọc cho phép tôi in toàn bộ các yêu cầu/phản hồi. Tôi đang gọi một cái gì đó như thế này:
tshark -r dump.pcap -R "tcp.stream==123 and http.request" -T fields -e http.request.uri
Có một số tên bộ lọc tôi có thể chuyển đến -e
để nhận được yêu cầu/nội dung phản hồi không? Gần nhất tôi đã đến là sử dụng cờ -V
, nhưng nó cũng in ra một loạt các thông tin tôi không cần thiết và muốn tránh phải kludge ra với một bộ lọc "câm".
các snarflen của chụp ban đầu là gì. Nếu bạn không thu thập gói đầy đủ, bạn có thể có dữ liệu. –
Các ảnh chụp đều ổn. MTU trên giao diện tôi sử dụng là 1514 và tôi đã chụp được 1600. Tôi mở pcap trong Wireshark và có thể nhận các cặp yêu cầu-phản hồi riêng lẻ dưới dạng luồng; Tôi chỉ đang tìm cách viết kịch bản chống lại nó. –
Cool - chỉ loại trừ rõ ràng nhất –