如果您在wireshark中使用"Follow TCP stream",您将获得一个非常好的客户端服务器对话显示.
一种颜色是客户端,另一种颜色是服务器.
有没有办法把这个转移到ascii而不失去谁说什么?
例如:
server> 220 "Welcome to FTP service for foo-server."
client> USER baruser
server> 331 Please specify the password.
client> supersecret
我想避免截图.将"server>"和"client>"添加到行中是容易出错的.
GUI 版本可能无法实现,但控制台版本 可以实现tshark:
tshark -r capture.pcap -qz follow,tcp,ascii,<stream_id> > stream.txt
替换<stream_id>为实际的流 ID(例如:1):
tshark -r capture.pcap -qz follow,tcp,ascii,1 > stream.txt
这将输出一个 ASCII 文件。它比直接从 GUI 版本保存有什么好处?出色地:
第二节点发送的数据带有制表符前缀,以将其与第一节点发送的数据区分开。
由于ascii模式下的输出可能包含换行符,因此每段输出的长度加上换行符位于每段输出之前。
这使得该文件易于解析。输出示例:
===================================================================
Follow: tcp,ascii
Filter: tcp.stream eq 1
Node 0: xxx.xxx.xxx.xxx:51343
Node 1: yyy.yyy.yyy.yyy:80
786
GET ...
Host: ...
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache
Accept: */*
User-Agent: ...
Referer: ...
Accept-Encoding: ...
Accept-Language: ...
Cookie: ...
235
HTTP/1.1 200 OK
Cache-Control: no-cache, no-store
Pragma: no-cache
Content-Type: ...
Expires: -1
X-Request-Guid: ...
Date: Mon, 31 Aug 2015 10:55:46 GMT
Content-Length: 0
===================================================================
786\n是第一个输出部分的长度Node 0。
\t235\n是响应部分的长度Node 1等等。
| 归档时间: |
|
| 查看次数: |
215 次 |
| 最近记录: |