我有一个包含 HTTP 请求的 pcap 文件 (~2.3G)。我需要以某种方式提取每个请求的主体,以便进一步处理它。每个请求放在自己的文件中都可以很好地工作,但我可以灵活处理。
我在 tshark 中发现了一些有希望的东西,就像这个命令一样几乎我需要的:
tshark -r capture.pcap --export-objects "http,data"
我得到一个包含一堆文件的文件夹,每个文件都包含一个请求正文。
但是它只输出前 1000 个请求。我怎样才能获取其余的请求?
答案1
尝试运行tshark -r events.pcap -Y "http.request" -T fields -e http.file_data
。
-Y "http.request"
- 过滤 http 请求的数据包
-T fields -e http.file_data
- 将输出字段设置为请求主体
编辑:对于较大的文件,你可能需要使用类似这样的工具来拆分你的捕获編輯。