我正在尝试分析来自应用程序的JSON-RPC流量,以了解未记录的协议。到目前为止,我一直在使用Wireshark的“跟随TCP流”功能,但是涉及到很多点击。
我可以使用tcpdump或tshark来完成类似的事情吗?
我只需要从/向特定主机转发到stdout的所有TCP流数据。
答案 0 :(得分:1)
您正在寻找的是Bro的contents脚本来记录TCP流的有效负载。只需按如下方式调用Bro:
bro -r trace.pcap contents
将以
的形式创建文件contents.<sourceIP>.<sourcePORT>-<destinationIP>.<destinationPORT>
每个流程。您使用Bro获得的是经过全面测试的TCP重组器,这使其成为有效负载检查和更高级协议分析的理想工具。
答案 1 :(得分:0)
让我做我正在寻找的工具是“ngrep”,我做了:
sudo ngrep -Wbyline '' dst host <ip-address> or src host <ip-address>