【发布时间】:2012-08-24 01:10:57
【问题描述】:
我是 wireshark/tshark 的新手,所以我想知道这样的事情是否可行。我已经将一些流量捕获为 pcap 文件。我在wireshark中打开它并应用'http.cookie'过滤器,它只给我带有cookie的数据包。从这些数据包中,我只需要特定的 HTTP 信息,例如源/目标 ip、时间戳、http.content_type、http.content_length、cookie ID 字符串和完整的请求 uri。在wireshark中有点可能。但这一切都是在存储在计算机中的离线捕获 pcap 文件上完成的。
有没有办法在我只捕获带有 COOKIES 的 HTTP 数据包的界面上使用 tshark?然后将特定信息提取到文件中。我一直在谷歌上搜索,并尝试了很多例子,但很困惑。
我想我对捕获过滤器和读取过滤器感到困惑,有人可以帮助我吗?
【问题讨论】:
-
好的,到目前为止,我已经设法得到了一些结果...... /tmp/output3.txt > >.. 这会将 content_type、content_length 和 cookie 信息添加到 info。但这使信息变得很长。有没有一种方法可以代替将 content_type、content_length 和 cookie 信息添加到信息中,而是将这些信息添加到由制表符空格或分号分隔的三个新列中?
标签: http cookies wireshark tshark