如果您使用"请遵循TCP流"在wireshark中,您可以获得客户端服务器对话的非常好的显示。
一种颜色是客户端,另一种颜色是服务器。
有没有办法将其转储到ascii而不会失去谁说什么?
例如:
server> 220 "Welcome to FTP service for foo-server."
client> USER baruser
server> 331 Please specify the password.
client> supersecret
我想避免截图。添加"服务器>"和"客户>"线条容易出错。
答案 0 :(得分:2)
使用GUI版本可能无法实现,但使用console version tshark可以实现:
tshark -r capture.pcap -qz follow,tcp,ascii,<stream_id> > stream.txt
将<stream_id>替换为实际的流ID(例如:1):
tshark -r capture.pcap -qz follow,tcp,ascii,1 > stream.txt
这将输出一个ASCII文件。如何直接从GUI版本保存它更好?良好:
第二个节点发送的数据以标签为前缀,以区别于第一个节点发送的数据。
由于ascii模式的输出可能包含换行符,输出的每个部分的长度加上换行符在每个输出部分之前。
这使文件易于解析。示例输出:
===================================================================
Follow: tcp,ascii
Filter: tcp.stream eq 1
Node 0: xxx.xxx.xxx.xxx:51343
Node 1: yyy.yyy.yyy.yyy:80
786
GET ...
Host: ...
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache
Accept: */*
User-Agent: ...
Referer: ...
Accept-Encoding: ...
Accept-Language: ...
Cookie: ...
235
HTTP/1.1 200 OK
Cache-Control: no-cache, no-store
Pragma: no-cache
Content-Type: ...
Expires: -1
X-Request-Guid: ...
Date: Mon, 31 Aug 2015 10:55:46 GMT
Content-Length: 0
===================================================================
786\n是Node 0的第一个输出部分的长度。
\t235\n是来自Node 1的响应部分的最后部分,依此类推。