Wie verwende ich tshark zum Drucken von Anfrage-Antwort-Paaren aus einer pcap-Datei?

8

Bei einer pcap-Datei kann ich viele Informationen aus der rekonstruierten HTTP-Anfrage und den Antworten mit saubere Filter von Wireshark zur Verfügung gestellt . Ich konnte auch die pcap-Datei in jeden TCP-Stream aufteilen .

Das Problem, auf das ich jetzt stoße, ist das von all den coolen Filtern, die ich mit tshark verwenden kann. Ich kann keine finden, die mir erlauben, ganze Anfrage / Antwort-Körpern auszudrucken. Ich rufe so etwas an:

%Vor%

Gibt es einen Filternamen, den ich an -e übergeben kann, um den Request / Response-Body zu erhalten? Am nächsten komme ich mit dem -V -Flag, aber es druckt auch eine Reihe von Informationen aus, die ich nicht unbedingt brauchen möchte und die ich vermeiden möchte, mit einem "dummen" Filter auszublenden.

    
Steven Xu 18.01.2012, 00:51
quelle

3 Antworten

8

Wenn Sie bereit sind, zu einem anderen Tool zu wechseln, tcptrace kann dies mit der Option -e tun . Es hat auch eine HTTP-Analyse-Erweiterung (xHTTP-Option), die die HTTP-Anfrage / Antwort-Paare für jeden TCP-Stream generiert.

Hier ist ein Anwendungsbeispiel:

%Vor%
  • - csv , um die Ausgabe als kommaseparierte Variable zu formatieren
  • -xHTTP für HTTP-Anfrage / Antwort, die auf 'http.times' geschrieben wurde, schaltet auch -e ein, um die Payload des TCP-Streams zu entladen, also brauchen Sie auch nicht -e
  • -f'port = 80 ' um nicht webbasierten Traffic herauszufiltern
  • -l für langes Ausgabeformular
  • -t um mir eine Fortschrittsanzeige zu geben
  • -n um die Hostnamenauflösung zu deaktivieren (viel schneller ohne dies)
rupello 24.01.2012 14:37
quelle
2

Wenn Sie eine pcap-Datei erfasst haben, können Sie Folgendes tun, um alle Anfragen + Antworten anzuzeigen.

%Vor%

Ich habe einfach die Antwort von diyism etwas verständlicher gemacht (Sie brauchen kein sudo und ein mehrzeiliges Skript ist einfach zu betrachten)

    
edi9999 04.03.2016 13:10
quelle
0

Ich benutze diese Zeile letzte 10 Sekunden Anfrage Körper zu zeigen und Antworttext ( Ссылка ):

%Vor%     
diyism 26.01.2015 08:44
quelle

Tags und Links

Django: Verwenden von Annotate, Count und Distinct in einem Queryset Logarithmus mit SSE, oder wechseln zu FPU?