我有一个 tcpdump (pcap) 捕获文件,想要提取所有域。我使用以下命令来完成此操作:
strings capture_file | grep -oiE '([a-zA-Z0-9][a-zA-Z0-9-]{1,61}\.){1,}(\.?[a-zA-Z]{2,}){1,}' | sort -u > out
但我只想提取那些与字符串“Client Hello”相关的内容。 Wireshark 中的示例:
Handshake Protocol: Client Hello
Server Name: example.com
有什么办法可以做到这一点吗?
答案1
在 Wireshark 中打开 pcap 文件。选择“Client Hello”行,然后选择“导出数据包解析”并保存“作为纯文本”。将文件另存为“export.txt”
然后运行:
grep -i "Server Name" export.txt | grep -oiE '([a-zA-Z0-9][a-zA-Z0-9-]{1,61}\.){1,}(\.?[a-zA-Z]{2,}){1,}' | sort -u > out