Dado un archivo pcap, puedo extraer mucha información de la solicitud HTTP reconstruida y las respuestas usando el neat filters provided by Wireshark. También he podido split the pcap file into each TCP stream.¿Cómo uso tshark para imprimir pares de solicitud-respuesta desde un archivo pcap?
Problema que me encuentro ahora es que de todos los filtros geniales que puedo usar con tshark
, no puedo encontrar uno que me permita imprimir cuerpos completos de solicitud/respuesta. Voy a llamar a algo como esto:
tshark -r dump.pcap -R "tcp.stream==123 and http.request" -T fields -e http.request.uri
¿Hay alguna Filtro me puede pasar a -e
para conseguir el cuerpo de solicitud/respuesta? Lo más cerca que he llegado es usar el indicador -V
, pero también imprime una gran cantidad de información que no necesito y quiero evitar tener que salir con un filtro "tonto".
¿Cuál fue el snarflen de la captura original. Si no recopiló el paquete completo, probablemente tenga los datos. –
Las capturas estaban bien. El MTU en la interfaz que utilicé fue 1514 e hice una captura de 1600. Abrí el pcap en Wireshark y puedo obtener pares individuales de solicitud-respuesta como transmisiones; Solo estaba buscando una forma de escribir contra eso. –
Genial: descartando la más obvia –