Tshark 过滤 http/https 获取请求

Tshark filtering http/https get request

我只需要查看一次 HTTP GET 请求 HOST(仅网页),仅来自定义的源 ip,而不是其他 information/data。

第一个请求url。

例如:

从客户端到服务器的第一个数据包。

GET / HTTP/1.1\r\n

我应该添加什么过滤器?我尝试了很少,但还是吃太多了 information/data...

是否也可以查看HTTPS 首请求包?要查看客户端将请求发送到哪里?

如果您使用的是 Un*x 平台,您可以尝试以下操作:

tshark -r file.pcap -Y 'ip.src == 1.2.3.4 and http.request.method == "GET"' -T fields -e http.request.method -e http.request.version -e http.request.uri | head -n 1

...或者您可能想使用 http.request.full_uri 而不是 http.request.uri

如果您使用 Windows,您可能需要安装 Cygwin coreutils 才能使用 head,并且您可能需要以不同的方式引用内容,例如:

tshark -r file.pcap -Y "ip.src == 1.2.3.4 and http.request.method == \"GET\"" -T fields -e http.request.method -e http.request.version -e http.request.uri | head -n 1

对于 https,您需要解密 SSL。您可以在 Wireshark SSL wiki page.

上阅读如何执行此操作