Comment puis-je utiliser tshark pour imprimer requête-réponse paires à partir d'un fichier pcap?
Donné un fichier pcap, je suis en mesure d'extraire beaucoup d'informations à partir de la reconstruction de la requête HTTP et réponses à l'aide du neat filtres fournis par Wireshark. J'ai aussi été en mesure de diviser le fichier pcap dans chaque flux TCP.
De problèmes, je suis en cours d'exécution dans la est que de tous les frais filtres, je suis en mesure d'utiliser avec tshark
, je ne peux pas en trouver un qui me permettra de d'imprimer complet de demande/réponse des organismes. Je suis d'appeler quelque chose comme ceci:
tshark -r dump.pcap -R "tcp.stream==123 and http.request" -T fields -e http.request.uri
Est-il un nom de filtre, je peux passer à -e
pour obtenir la demande/le corps de la réponse? Le plus proche que je suis venu, c'est utiliser la -V
drapeau, mais il imprime aussi un tas d'informations je n'ai pas nécessaires voulez et que vous voulez éviter d'avoir à quelque chose avec un "bête" du filtre.
Les captures ont été très bien. Le MTU de l'interface que j'ai utilisé était 1514 et j'ai fait une capture de 1600. J'ai ouvert le ppce dans Wireshark et peut obtenir une demande de réponse paires comme des ruisseaux; j'étais juste à la recherche d'un moyen de script contre elle.
Cool juste décision la plus évidente
Qu'en est TShark option -O (-O protocoles: affiche Seulement les détails de paquet de ces protocoles, séparés par des virgules) $ tshark -r clmt_04.ppce -R "http.demande ou http.réponse" -V -O, http > http.txt
Pense que ce serait plus utile sur ou SF.
OriginalL'auteur Steven Xu | 2012-01-18
Vous devez vous connecter pour publier un commentaire.
Si vous êtes prêt à passer à un autre outil, tcptrace pouvez le faire avec l'option-e. Il a aussi un HTTP analyse de l'extension (xHTTP en option), qui génère la requête HTTP/repsonse paires pour chaque flux TCP.
Voici un exemple d'utilisation:
tcptrace -e my.dump
n'ai pas de séparer correctement les requêtes. Je suppose que c'est juste une affaire de me faire quelque chose de mal depuis Wireshark fait la même chose fractionnement très bien, donc je vais fourrer en elle un peu plus. Si vous aviez un one-liner au-dessus de votre tête à l'extrait de requête-réponse paires à partir d'un standard de fichier pcap (malheureusement avec une poignée de couper les paquets), je suis tout ouïe :).ajout d'un exemple - ce qui fonctionne pour moi, mais je suis sûr que vous allez courir dans des problèmes si yu ont tronqué les paquets
C'est parfait pour moi sauf que j'ai aussi besoin de l'horodatage exact de la demande d'suis envoyé. Je suis en train de reproduire un scénario où je dois envoyer les trucs en même temps qu'il s'est passé précédemment.
OriginalL'auteur rupello
Si vous avez capturé un fichier pcap, vous pouvez effectuer les opérations suivantes pour afficher toutes les demandes de réponses+.
Je viens de faire diyism réponse un peu plus facile à comprendre (vous n'avez pas besoin de sudo, et plusieurs lignes de script est de l'omi simple à regarder)
OriginalL'auteur edi9999
J'utilise cette ligne pour afficher les 10 dernières secondes du corps de la requête et de la réponse du corps(https://gist.github.com/diyism/eaa7297cbf2caff7b851):
OriginalL'auteur diyism