Tshark过滤http/https获取请求
问题描述:
我只需要查看HTTP GET请求HOST一次(仅网页),只能从已定义的源ip中查看,而不能查看其他信息/数据。Tshark过滤http/https获取请求
该网址的第一个请求。
例如:
从客户端发生的事情到服务器的第一个数据包。
GET/HTTP/1.1\r\n
我应该添加哪些过滤器?我已经尝试了很少,但仍然得到太多的信息/数据...
是否有任何可能查看HTTPS第一个请求包呢?查看客户端发送请求的位置?
答
如果你在选择Un * X平台,你可以尝试这样的:
tshark -r file.pcap -Y 'ip.src == 1.2.3.4 and http.request.method == "GET"' -T fields -e http.request.method -e http.request.version -e http.request.uri | head -n 1
...或者你想使用http.request.full_uri代替http.request.uri?
如果您使用的是Windows,则可能需要以使用head安装Cygwin的coreutils,你可能要引用的东西有点不同,例如:
tshark -r file.pcap -Y "ip.src == 1.2.3.4 and http.request.method == \"GET\"" -T fields -e http.request.method -e http.request.version -e http.request.uri | head -n 1
对于HTTPS,你会需要解密SSL。您可以阅读Wireshark SSL wiki page上的如何操作。