Come rimuovere l'intestazione tcp dei pacchetti catturati con dumpcap?

1

Il traffico da Wireshark salvato in un file con dumpcap. In questo file si ha per esempio:

€     X       'þ $À6
@ íëÃNxXÀ¨£ P&E»kKí¨<'PEà;  
HTTP/1.1 200 OK
Cache-Control: private

E voglio vedere solo:

HTTP/1.1 200 OK
Cache-Control: private

      On windows 7 and I use this commands :
      cd\pro*
      cd wires*
      tshark -D
      dumpcap -i 5 -s 96-w packets.cap
    
posta user50189 17.07.2014 - 14:23
fonte

2 risposte

1

I "garbage" che prefigurano i dati che ti interessano sono i livelli del protocollo (ethernet, ip e le intestazioni di trasporto)

Quando salvi i dati acquisiti con dumpcap, stai anche registrando questi livelli di protocollo.

Per filtrarli via per visualizzare solo i dati TCP, è necessario elaborare i dati attraverso un programma. Tcpflow è uno strumento in grado di estrarre i dati dai pacchetti tcp.

Dai un'occhiata a questo domanda, che è essenzialmente la stessa che stai chiedendo.

Nel tuo scenario, vorresti che il comando fosse qualcosa del tipo:

tcpflow -C -r <your-pcap-file>
    
risposta data 17.07.2014 - 14:39
fonte
-1

Tutte le linee sono uguali a quelle del tuo esempio?

Supponendo che questo sia su un sistema * nix, potresti usare grep o awk, o una combinazione dei due, ad esempio:

cat dumpfile | grep HTTP

o

cat dumpfile | awk -F; '{print $1}'
    
risposta data 17.07.2014 - 14:27
fonte

Leggi altre domande sui tag