tshark/wireshark display filters

Как оказалось, анализировать или хотя бы фильтровать pcap файлы с помощью tcpdump практически невозможно. Filter expression почему-то не работает как нужно. Wireshark падает при открытии огромных файлов, тут на подмогу пришел tshark. Фильтровать протоколы высокого уровня с ним даже проще, т.к. можно использовать dislay filters. К сожалению, на уже захваченных файлах capture filters не работают.

Несколько примеров:
http.request.method == “POST”
tcp contains “?act=login”

Так фильры применяются из командной строки:
tshark -R "http.request.method == "POST"" -r "dump.pcap"

Advertisements

Leave a Reply

Please log in using one of these methods to post your comment:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s