tshark可以提取pcap文件的uri信息,例如url中的name
tshark -r x.pcapng -e http.request.uri -T fields -Y 'http.request.uri' | grep -P 'name=[A-F0-9]{3}' | awk -F '=' '{printf $2}'
-r x.pcapng 表示从文件 x.pcapng 中读取网络数据包。
-e http.request.uri 指定要提取的字段为 HTTP 请求的 URI。
-T fields 表示输出仅包含指定的字段内容。
-Y 'http.request.uri' 是过滤表达式,只保留包含 HTTP 请求 URI 的数据包。
grep -P 'name=[A-F0-9]{3}' 是一个文本搜索命令,使用 Perl 正则表达式进行匹配。
在这里,它会从前一个命令的输出中筛选出包含形如 name=xxx(其中 xxx 是三位十六进制字符)的内容。
awk -F '=' '{printf $2}':
-F '=' 表示使用等号作为字段分隔符。
'{printf $2}' 表示打印每行中以等号分隔的第二个字段,即提取出 name=xxx 中的 xxx 部分。
导出的http对象
执行结果为:
123404B03040A0001080000739C8C4B7B36E495200000001400000004000000666C616781CD460EB62015168D9E64B06FC1712365FDE5F987916DD8A52416E83FDE98FB504B01023F000A0001080000739C8C4B7B36E4952000000014000000040024000000000000002000000000000000666C61670A00200000000000010018000DB39B543D73D301A1ED91543D73D301F99066543D73D301504B0506000000000100010056000000420000000000
标签:http,tshark,xxx,request,uri,使用,name From: https://www.cnblogs.com/willingyut/p/17659237.html