如何从大型 pcap 文件中导出超过 1000 个 http 请求正文?

如何从大型 pcap 文件中导出超过 1000 个 http 请求正文?

我有一个包含 HTTP 请求的 pcap 文件 (~2.3G)。我需要以某种方式提取每个请求的主体,以便进一步处理它。每个请求放在自己的文件中都可以很好地工作,但我可以灵活处理。

我在 tshark 中发现了一些有希望的东西,就像这个命令一样几乎我需要的:

tshark -r capture.pcap --export-objects "http,data"

我得到一个包含一堆文件的文件夹,每个文件都包含一个请求正文。

但是它只输出前 1000 个请求。我怎样才能获取其余的请求?

答案1

尝试运行tshark -r events.pcap -Y "http.request" -T fields -e http.file_data

-Y "http.request"- 过滤 http 请求的数据包

-T fields -e http.file_data- 将输出字段设置为请求主体

编辑:对于较大的文件,你可能需要使用类似这样的工具来拆分你的捕获編輯

相关内容