经过几个小时的谷歌搜索,并试图不迷失在不同的tshark版本中我仍然无法弄清楚tshark的命令行选项我应该用来获取完整(重新组装)的JSON请求和响应(JSON数据结构) )。
tshark 2.2.2在live eth0接口上使用,而不是解析pcap.files。 请求和响应是gziped,需要解码。
所有相关的wirehark问题似乎都被标记为“固定”,所以我认为在2.2.2中它应该是可能的。
答案 0 :(得分:0)
我找到了一个有效的解决方案。它不适用于实时界面,需要先保存pcap文件,但这是我设法用tshark做的最好的。
Step1(捕获网络流量):
Refresh
Step2(列出捕获的tcp流):
tshark -i eth0 -f "port 9088" -w capture.pcap
Step3(转储一个特定tcp流的内容):
tshark -r capture.pcap -T fields -e tcp.stream | sort -u
Noice使用“-d tcp.port == 9088,http”选项强制在此端口上进行http解码,就像我的情况一样,它是在该端口上运行的socks5代理。
最重要的是“-z follow,http,ascii,_your_stream_number”,其中“follow,http”功能解码gziped http正文内容并且没有记录,只能从wireshark / tshark的2.2.0版本中获得。