给定一个 pcap 文件,我可以使用 neat filters provided by Wireshark 从重构的 HTTP 请求和响应中提取大量信息。 。我还能够split the pcap file into each TCP stream .
我现在遇到的问题是,在我能够与 tshark 一起使用的所有很酷的过滤器中,我找不到一个可以让我打印出完整请求/响应正文的过滤器。我正在调用这样的东西:
tshark -r dump.pcap -R "tcp.stream==123 and http.request" -T fields -e http.request.uri
是否有一些过滤器名称可以传递给 -e 来获取请求/响应正文?我最接近的是使用 -V 标志,但它也会打印出一堆我不需要的信息,并且希望避免使用“哑”过滤器来拼凑.
最佳答案
如果您愿意切换到其他工具,tcptrace can do this使用 -e 选项。它还具有 HTTP 分析扩展(xHTTP 选项),可为每个 TCP 流生成 HTTP 请求/响应对。
这是一个使用示例:
tcptrace --csv -xHTTP -f'port=80' -lten capturefile.pcap
- --csv 将输出格式化为逗号分隔变量
- -xHTTP 对于写入“http.times”的 HTTP 请求/响应,这也会打开 -e 来转储 TCP 流有效负载,因此您实际上也不需要 -e<
- -f'port=80' 过滤掉非网络流量
- -l 用于长输出形式
- -t 给我进度指示
- -n 关闭主机名解析(没有这个会更快)
关于wireshark - 如何使用 tshark 从 pcap 文件打印请求-响应对?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/8903815/