0

私はwireshark/tsharkを初めて使用するので、そのようなことが可能かどうか知りたいです. 一部のトラフィックを pcap ファイルとしてキャプチャしました。私はwiresharkでそれを開き、「http.cookie」フィルターを適用します。これは、Cookieを含むパケットのみを提供します。これらのパケットから、送信元/送信先 IP、タイムスタンプ、http.content_type、http.content_length、Cookie ID 文字列、完全なリクエスト URI などの特定の HTTP 情報のみが必要です。Wiresharkではある程度可能です。しかし、それはすべて、コンピューターに保存されているオフライン キャプチャ pcap ファイルで行われます。

インターフェイスで tshark を使用して、Cookie を含む HTTP パケットのみをキャプチャする方法はありますか? 次に、特定の情報をファイルに抽出します。私はたくさんグーグルして、非常に多くの例を試しましたが、よく混乱しています。

キャプチャ フィルターと読み取りフィルターと混同していると思います。誰か助けてもらえますか?

4

1 に答える 1

1

thark(および Wireshark の)キャプチャ フィルタは、より上位のレイヤに到達するためのさまざまな拡張機能を提供しますが、それでもパケット単位になります。これは、再送信による重複パケットが含まれている可能性がある TCP トラフィックを処理する場合の問題です。

アプリケーション層のプロトコルを分析する場合は、最初に TCP ストリームを再構築してから、より上位の層を処理する方が適切です。この目的のために、Broを見てください。また、コマンド ラインでも動作し、堅牢で広範囲にテストされた TCP リアセンブラが付属しており、HTTP を含むさまざまなプロトコル パースが付属しています。

于 2012-08-29T23:04:42.173 に答える