我是wireshark/tshark的新手,所以我想知道这样的事情是否可能。我已经捕获了一些流量作为pcap文件。我在wireshark中打开它并应用"http.cookie"过滤器,它只会给我包含cookie的数据包。从这些数据包中,我只需要特定的HTTP信息,如源/目的地ip、时间戳、HTTP.content_type、HTTP.connent_length、cookie ID字符串和完整请求uri。在wireshark中,这在某种程度上是可能的。但这一切都是在存储在计算机中的离线捕获pcap文件上完成的。
有没有一种方法可以通过在接口上使用tsark,让我只捕获包含COOKIES的HTTP包?然后将特定信息提取到文件中。我在谷歌上搜索了很多,也尝试了很多例子,但经常感到困惑。
我想我对捕获过滤器和读取过滤器感到困惑,有人能帮我吗?
虽然thark(和Wireshark)捕获过滤器提供了各种扩展以达到更高层的峰值,但它仍将以每个数据包为基础。在处理TCP流量时,这是一个问题,由于重新传输,TCP流量可能包含重复的数据包。
在分析应用层协议时,最好先重新组装TCP流,然后再处理更高层。为此,请看一下Bro。它还可以在命令行上工作,附带一个强大且经过广泛测试的TCP重新组装程序,并附带各种协议解析,包括HTTP。