0

我是wireshark/tshark的新手,所以我想知道这样的事情是否可行。我已经将一些流量捕获为 pcap 文件。我在wireshark中打开它并应用'http.cookie'过滤器,它只给我带有cookie的数据包。从这些数据包中,我只需要特定的 HTTP 信息,例如源/目标 ip、时间戳、http.content_type、http.content_length、cookie ID 字符串和完整的请求 uri。在wireshark中有点可能。但这一切都是在存储在计算机中的离线捕获 pcap 文件上完成的。

有没有办法在我只捕获带有 COOKIES 的 HTTP 数据包的界面上使用 tshark?然后将特定信息提取到文件中。我一直在谷歌上搜索,并尝试了很多例子,但很困惑。

我想我对捕获过滤器和读取过滤器感到困惑,有人可以帮助我吗?

4

1 回答 1

1

虽然thark(和 Wireshark)捕获过滤器提供了多种扩展以达到更高层的峰值,但它仍将基于每个数据包。这是处理 TCP 流量时的一个问题,由于重新传输,它可能包含重复的数据包。

在分析应用层协议时,先重组 TCP 流,然后再处理更高层会更合适。为此,看看兄弟。它还可以在命令行上运行,附带一个健壮且经过广泛测试的 TCP 重组器,并附带各种协议解析,包括 HTTP。

于 2012-08-29T23:04:42.173 回答