tshark 2.2.2命令行参数转储完整的http + json请求和响应

时间:2016-12-02 12:14:03

标签: wireshark tshark

经过几个小时的谷歌搜索,并试图不迷失在不同的tshark版本中我仍然无法弄清楚tshark的命令行选项我应该用来获取完整(重新组装)的JSON请求和响应(JSON数据结构) )。

tshark 2.2.2在live eth0接口上使用,而不是解析pcap.files。 请求和响应是gziped,需要解码。

所有相关的wirehark问题似乎都被标记为“固定”,所以我认为在2.2.2中它应该是可能的。

1 个答案:

答案 0 :(得分:0)

我找到了一个有效的解决方案。它不适用于实时界面,需要先保存pcap文件,但这是我设法用tshark做的最好的。

Step1(捕获网络流量): Refresh Step2(列出捕获的tcp流): tshark -i eth0 -f "port 9088" -w capture.pcap

Step3(转储一个特定tcp流的内容): tshark -r capture.pcap -T fields -e tcp.stream | sort -u

Noice使用“-d tcp.port == 9088,http”选项强制在此端口上进行http解码,就像我的情况一样,它是在该端口上运行的socks5代理。

最重要的是“-z follow,http,ascii,_your_stream_number”,其中“follow,http”功能解码gziped http正文内容并且没有记录,只能从wireshark / tshark的2.2.0版本中获得。