我正在尝试从wireshark导出文件,以便我可以在其中搜索。
当我跟踪 TCP 流时,我尝试的每个选项都不会提供简单的原始格式作为 tcp 原始视图。
它给我的只是数据包的十六进制视图,并且这种格式的字符串无法搜索。我希望它导出为可搜索的格式。
可以做吗?
这就是我现在得到的:
0000 48 54 54 50 2f 31 2e 31 20 35 30 30 20 49 6e 74 HTTP/1.1 500 Int
0010 65 72 6e 61 6c 20 53 65 72 76 65 72 20 45 72 72 ernal Server Err
0020 6f 72 0d 0a 44 61 74 65 3a 20 54 68 75 2c 20 31 or..Date: Thu, 1
0030 30 20 4e 6f 76 20 32 30 31 31 20 31 36 3a 33 32 0 Nov 2011 16:32
0040 3a 35 37 20 47 4d 54 0d 0a 50 72 61 67 6d 61 3a :57 GMT..Pragma:
0050 20 6e 6f 2d 63 61 63 68 65 0d 0a 43 6f 6e 74 65 no-cache..Conte
使用 TShark、sed 和 tr 怎么样?
tshark -r Clmt_04.pcap -x -R "frame.number<40" | sed 's/^.{56}//' | tr -d '\n' > Clmt-04.txt
tshark-x
添加十六进制和 ASCII 转储的输出(数据包字节)
sed 's/^.{56}//'
删除每行的前 56 个字符
tr-d'
'
删除新行字符
希望这有帮助
识别 tcp 流后,您可以使用以下命令与 tshark:
tshark -nr <file>.pcapng -q -z follow,tcp,ascii,XXXX
其中XXXX是tcp流。