Tshark 过滤 http/https 获取请求
Tshark filtering http/https get request
我只需要查看一次 HTTP GET 请求 HOST(仅网页),仅来自定义的源 ip,而不是其他 information/data。
第一个请求url。
例如:
从客户端到服务器的第一个数据包。
GET / HTTP/1.1\r\n
我应该添加什么过滤器?我尝试了很少,但还是吃太多了 information/data...
是否也可以查看HTTPS 首请求包?要查看客户端将请求发送到哪里?
如果您使用的是 Un*x 平台,您可以尝试以下操作:
tshark -r file.pcap -Y 'ip.src == 1.2.3.4 and http.request.method == "GET"' -T fields -e http.request.method -e http.request.version -e http.request.uri | head -n 1
...或者您可能想使用 http.request.full_uri 而不是 http.request.uri?
如果您使用 Windows,您可能需要安装 Cygwin coreutils 才能使用 head,并且您可能需要以不同的方式引用内容,例如:
tshark -r file.pcap -Y "ip.src == 1.2.3.4 and http.request.method == \"GET\"" -T fields -e http.request.method -e http.request.version -e http.request.uri | head -n 1
对于 https,您需要解密 SSL。您可以在 Wireshark SSL wiki page.
上阅读如何执行此操作
我只需要查看一次 HTTP GET 请求 HOST(仅网页),仅来自定义的源 ip,而不是其他 information/data。
第一个请求url。
例如:
从客户端到服务器的第一个数据包。
GET / HTTP/1.1\r\n
我应该添加什么过滤器?我尝试了很少,但还是吃太多了 information/data...
是否也可以查看HTTPS 首请求包?要查看客户端将请求发送到哪里?
如果您使用的是 Un*x 平台,您可以尝试以下操作:
tshark -r file.pcap -Y 'ip.src == 1.2.3.4 and http.request.method == "GET"' -T fields -e http.request.method -e http.request.version -e http.request.uri | head -n 1
...或者您可能想使用 http.request.full_uri 而不是 http.request.uri?
如果您使用 Windows,您可能需要安装 Cygwin coreutils 才能使用 head,并且您可能需要以不同的方式引用内容,例如:
tshark -r file.pcap -Y "ip.src == 1.2.3.4 and http.request.method == \"GET\"" -T fields -e http.request.method -e http.request.version -e http.request.uri | head -n 1
对于 https,您需要解密 SSL。您可以在 Wireshark SSL wiki page.
上阅读如何执行此操作