我有一个包含 HTTP 请求的 pcap 文件(~2.3G)。我需要以某种方式提取每个请求的主体,以便进一步处理它。每个请求在其自己的文件中都可以正常工作,但我可以灵活处理。
我在 tshark 中发现了一些有希望的东西,因为这个命令几乎可以满足我的需要:
tshark -r capture.pcap --export-objects "http,data"
我得到一个文件夹,里面有一堆文件,每个文件都包含一个请求正文。
但是,它只输出前 1000 个请求。我怎样才能得到其余的请求?
AskOverflow.Dev
尝试运行
tshark -r events.pcap -Y "http.request" -T fields -e http.file_data。-Y "http.request"- 过滤作为 http 请求的数据包-T fields -e http.file_data- 将输出字段设置为请求正文编辑:对于大文件,您可能需要使用editcap 之类的工具拆分捕获。