当我使用tshark像这样解码capfile时
tshark -V -r test.cap -Y 'http>0'
我有
...
JavaScript Object Notation: application/json
Object
Member Key: "ret"
Number value: 99
Member Key: "message"
String value:test
问题是如何使用tshark获得类似的json数据
...
{"ret":99,"message":"test"}
最佳答案
有类似的问题。
仅使用wireshark/tshark选项无法解决该问题。
下面是我从Cap文件中提取原始json和xml 的解决方法。
# 1. convert to pdml with DISABLED json and xml dissectors
tshark -r "wireshark.cap" -2 -R "http" --disable-protocol json --disable-protocol xml -V -T pdml > "wireshark.cap.pdml.xml"
# 2. get hex encoded raw data from media.type pdml element
# 3. perform hex decode
我在步骤2和3中使用了 groovy 脚本
import groovy.xml.*
...
def String hexDecode(String s) {
if ( null == s || 0 == s.length() ) {
return null
}
def res = ""
for (int i = 0; i < s?.length(); i += 2) {
res += (Character)((Character.digit(s.charAt(i), 16) << 4) + Character.digit(s.charAt(i+1), 16))
}
return res
}
...
def xmlFile = new File("wireshark.cap.pdml.xml")
def pdml = new XmlParser().parseText( xmlFile.text )
pdml.packet.each{ packet->
def media = packet.proto.find{ "media"==it.@name }
def hex = media?.field.find{"media.type"==it.@name }?.@value
def raw = hexDecode(hex)
}
关于json - 使用Tshark查看JSON数据,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/22295281/