对象:在具有特定标头字符串的 pcap 文件中查找 HTTP 服务器的 IP 地址。可以或者应该-l使用冲洗选项吗?
一种方法:已完成以下操作,但我想知道是否可以缩短它。如果这个问题太宽泛,请指教。
tshark-r文件.pcap -T fields -e ip.src -e http.server >姓名。TXT && 猫姓名.txt |排序| uniq-c|排序-nr | grep “xxx_xxx”
答案1
如果您想要计算帧中还包含 HTTP 响应且标Server头包含 的src IP 地址xxx_xxx,您可以执行以下操作:
tshark -r file.pcap -T fields -e ip.src 'http.server contains "xxx_xxx"' |
sort | uniq -c | sort -nr
看医生有关wireshark显示过滤器的语法。
一些tshark自己的分析报告(带有-z)可能对您也有用,例如:
tshark -r file.pcap -z http_srv,tree -2R 'http.server contains "xxx_xxx"'
tshark -r file.pcap -z hosts,ip -2R 'http.server contains "xxx_xxx"'
tshark -r file.pcap -z conv,ip -2R 'http.server contains "xxx_xxx"'