我是wireshark / tshark的新手,所以我想知道这样的事情是否可行。我已经捕获了一些流量作为pcap文件。我在wireshark中打开它并应用'http.cookie'过滤器,它只给我带有cookie的包。从这些数据包中我只需要特定的HTTP信息,如源/目标IP,时间戳,http.content_type,http.content_length,cookie ID字符串和完整请求uri。在wireshark中有点可能。但这一切都是在存储在计算机中的离线捕获pcap文件上完成的。
有没有办法在接口上使用tshark,我只能在其中捕获带有COOKIES的HTTP数据包?然后将特定信息提取到文件中。我一直在谷歌搜索,并尝试了这么多的例子,但很多人感到困惑。
我认为我对捕获过滤器和读取过滤器感到困惑,任何人都可以帮助我吗?
答案 0 :(得分:1)
虽然thark(和Wireshark)捕获过滤器提供了各种扩展以达到更高层的峰值,但它仍然是基于每个数据包。使用TCP流量时会出现问题,因为重新传输可能包含重复的数据包。
在分析应用层协议时,首先重新组装TCP流然后处理更高层更合适。为此,请查看Bro。它也适用于命令行,附带一个强大且经过广泛测试的TCP重组器,并附带各种协议解析,包括HTTP。