Как я могу экспортировать более 1000 тел запросов http из большого файла pcap?

Question

Как я могу экспортировать более 1000 тел запросов http из большого файла pcap?

У меня есть файл pcap (~2.3G), содержащий HTTP-запросы. Мне нужно каким-то образом извлечь тело каждого запроса, чтобы я мог продолжить его обработку. Каждый запрос в своем собственном файле будет работать хорошо, но я могу быть гибким в этом вопросе.

Я нашел кое-что многообещающее в tshark, так как эта команда делает почти то, что мне нужно:

tshark -r capture.pcap --export-objects "http,data"

Я получаю папку с кучей файлов, каждый из которых содержит одно тело запроса.

Однако он выводит только первые 1000 запросов. Как я могу получить остальные запросы?

3

pcap tshark

Источник

pkaeding 15 фев '18 в 06:00

1 ответ

Решение

Другие вопросы по тегам pcap tshark

atrakh 16 фев '18 в 00:50 2018-02-16 00:50 · Accepted Answer · 2018-02-16 00:50

Попробуйте запустить tshark -r events.pcap -Y "http.request" -T fields -e http.file_data,

-Y "http.request" - фильтры для пакетов, которые являются http-запросами

-T fields -e http.file_data - устанавливает поля вывода только для тела запроса

РЕДАКТИРОВАТЬ: с большим файлом, вам может потребоваться разделить ваши снимки с помощью инструмента, как editcap.