Comment puis-je utiliser tshark pour imprimer requête-réponse paires à partir d'un fichier pcap?

Donné un fichier pcap, je suis en mesure d'extraire beaucoup d'informations à partir de la reconstruction de la requête HTTP et réponses à l'aide du neat filtres fournis par Wireshark. J'ai aussi été en mesure de diviser le fichier pcap dans chaque flux TCP.

De problèmes, je suis en cours d'exécution dans la est que de tous les frais filtres, je suis en mesure d'utiliser avec tshark, je ne peux pas en trouver un qui me permettra de d'imprimer complet de demande/réponse des organismes. Je suis d'appeler quelque chose comme ceci:

 tshark -r dump.pcap -R "tcp.stream==123 and http.request" -T fields -e http.request.uri

Est-il un nom de filtre, je peux passer à -e pour obtenir la demande/le corps de la réponse? Le plus proche que je suis venu, c'est utiliser la -V drapeau, mais il imprime aussi un tas d'informations je n'ai pas nécessaires voulez et que vous voulez éviter d'avoir à quelque chose avec un "bête" du filtre.

Quel a été le snarflen de l'origine de la capture. Si vous n'avez pas de recueillir le paquet complet vous avez probablement les données.
Les captures ont été très bien. Le MTU de l'interface que j'ai utilisé était 1514 et j'ai fait une capture de 1600. J'ai ouvert le ppce dans Wireshark et peut obtenir une demande de réponse paires comme des ruisseaux; j'étais juste à la recherche d'un moyen de script contre elle.
Cool juste décision la plus évidente
Qu'en est TShark option -O (-O protocoles: affiche Seulement les détails de paquet de ces protocoles, séparés par des virgules) $ tshark -r clmt_04.ppce -R "http.demande ou http.réponse" -V -O, http > http.txt
Pense que ce serait plus utile sur ou SF.

OriginalL'auteur Steven Xu | 2012-01-18

  1. 8

    Si vous êtes prêt à passer à un autre outil, tcptrace pouvez le faire avec l'option-e. Il a aussi un HTTP analyse de l'extension (xHTTP en option), qui génère la requête HTTP/repsonse paires pour chaque flux TCP.

    Voici un exemple d'utilisation:

    tcptrace --csv -xHTTP -f'port=80' -lten capturefile.pcap
    • --csv pour le format de sortie que la virgule sperated variable
    • -xHTTP pour la requête/réponse HTTP écrite à 'http.temps cela passe également sur e pour vider le flux TCP charges, de sorte que vous n'avez pas vraiment besoin -e ainsi
    • -f'port=80' pour filtrer les non-trafic web
    • -l pour une longue sortie forme
    • -t de me donner des indication avancement
    • -n pour désactiver la résolution de nom d'hôte (beaucoup plus vite, sans cela)
    J'ai utilisé tcptrace. C'est assez prometteur. Merci! Pour quelque étrange raison, simplement en utilisant tcptrace -e my.dump n'ai pas de séparer correctement les requêtes. Je suppose que c'est juste une affaire de me faire quelque chose de mal depuis Wireshark fait la même chose fractionnement très bien, donc je vais fourrer en elle un peu plus. Si vous aviez un one-liner au-dessus de votre tête à l'extrait de requête-réponse paires à partir d'un standard de fichier pcap (malheureusement avec une poignée de couper les paquets), je suis tout ouïe :).
    ajout d'un exemple - ce qui fonctionne pour moi, mais je suis sûr que vous allez courir dans des problèmes si yu ont tronqué les paquets
    C'est parfait pour moi sauf que j'ai aussi besoin de l'horodatage exact de la demande d'suis envoyé. Je suis en train de reproduire un scénario où je dois envoyer les trucs en même temps qu'il s'est passé précédemment.

    OriginalL'auteur rupello

  2. 3

    Si vous avez capturé un fichier pcap, vous pouvez effectuer les opérations suivantes pour afficher toutes les demandes de réponses+.

    filename="capture_file.pcap"
for stream in `tshark -r "$filename" -2 -R "tcp and (http.request or http.response)" -T fields -e tcp.stream | sort -n | uniq`; do
    echo "==========BEGIN REQUEST=========="
    tshark -q -r "$filename" -z follow,tcp,ascii,$stream;
    echo "==========END REQUEST=========="
done;

    Je viens de faire diyism réponse un peu plus facile à comprendre (vous n'avez pas besoin de sudo, et plusieurs lignes de script est de l'omi simple à regarder)

    OriginalL'auteur edi9999

  3. 0

    J'utilise cette ligne pour afficher les 10 dernières secondes du corps de la requête et de la réponse du corps(https://gist.github.com/diyism/eaa7297cbf2caff7b851):

    sudo tshark -a duration:10 -w /tmp/input.pcap;for stream in `sudo tshark -r /tmp/input.pcap -R "tcp and (http.request or http.response) and !(ip.addr==192.168.0.241)" -T fields -e tcp.stream | sort -n | uniq`; do sudo tshark -q -r /tmp/input.pcap -z follow,tcp,ascii,$stream; done;sudo rm /tmp/input.pcap

    OriginalL'auteur diyism