tshark -r example.pcap -Y http.request -T fields -e http.host -e ip.dst -e http.request.full_uri
我尝试使用此命令,但它只是给了我source ip。我需要确保获得source ip和destination ip,以便我可以列出来自pcap文件的特定来源访问过的网站。有关更好的方法或改进此命令的任何建议吗?
答案 0 :(得分:0)
由于您已经在使用Python,因此请使用Scapy的Python绑定。
安装Scapy后,您可以使用rdpcap()函数获取所有数据包,这些数据包将作为列表提供给您,然后您可以迭代。当您遍历列表时,您可以从任何图层中提取任何字段,并以您想要的任何方式打印它们!
答案 1 :(得分:0)
你声明“它只是给了我source ip。我需要确保我得到source ip和destination ip”;但是,它看起来像你正在获取目标IP,在命令中按-e ip.dst判断:
tshark -r example.pcap -Y http.request -T fields -e http.host -e ip.dst -e http.request.full_uri
...那么为什么不包括-e ip.src,以便同时获得源IP地址和目标IP地址?
我不知道,也许我误解了你的要求。