Имея файл pcap, я могу извлечь много информации из реконструированного HTTP-запроса и ответов, используя ссылку аккуратные фильтры, предоставляемые Wireshark. Я также смог разбить файл pcap на TCP-поток.
Проблема, с которой я сталкиваюсь сейчас, заключается в том, что из всех классных фильтров, которые я могу использовать с tshark
, я не могу найти тот, который позволил бы мне распечатать полные тела запроса/ответа. Я звоню примерно так:
tshark -r dump.pcap -R "tcp.stream==123 and http.request" -T fields -e http.request.uri
Есть ли какое-то имя фильтра, которое я могу передать -e
, чтобы получить тело запроса/ответа? Ближе всего я пришел к использованию флага -V
, но он также распечатывает кучу информации, которая мне не нужна, и я хочу избежать необходимости использовать «тупой» фильтр.