我正在使用tcpdump来调试SSDP服务。
$ sudo tcpdump -Aq udp port 1900
在打印UDP数据包时,在我认为是IP和UDP标头的HTTP标头之前,我得到了很多胡言乱语。如何禁止打印这些内容,而只打印数据包中的应用程序级数据(包括 HTTP 标头)?
这里有一个例子,我不想要的东西在第二行NOTIFY之前:
14:41:56.738130 IP www.routerlogin.com.2239 > 239.255.255.250.1900: UDP, length 326
E..b..@................l.N..NOTIFY * HTTP/1.1
HOST: 239.255.255.250:1900
可悲的是,没有tcpdump甚至tshark捷径来做你想做的事......我们能做的最好的事情就是通过文本过滤器运行 STDOUT......
一些perl或sed的人可能会在我身后缩短这个时间,但它可以完成工作......
[mpenning@Bucksnort ~]$ sudo tcpdump -Aq udp port 1900 | perl -e 'while ($line=<STDIN>) { if ($line!~/239.255.255.250.+?UDP/) { if ($line=~/(NOTIFY.+)$/) {print "$1n";} else {print $line;}}}'
NOTIFY * HTTP/1.1
HOST: 239.255.255.250:1900
[mpenning@Bucksnort ~]$
如果添加换行符,上面列出的 perl STDIN 过滤器是...
while ($line=<STDIN>) {
if ($line!~/239.255.255.250.+?UDP/) {
if ($line=~/(NOTIFY.+)$/) {
print "$1n";
} else {
print $line;
}
}
}