¿Cómo eliminar el encabezado tcp de los paquetes capturados con dumpcap?

1

El tráfico de Wireshark guardado en un archivo con dumpcap. En este archivo tenemos por ejemplo:

€     X       'þ $À6
@ íëÃNxXÀ¨£ P&E»kKí¨<'PEà;  
HTTP/1.1 200 OK
Cache-Control: private

Y quiero ver solo:

HTTP/1.1 200 OK
Cache-Control: private

      On windows 7 and I use this commands :
      cd\pro*
      cd wires*
      tshark -D
      dumpcap -i 5 -s 96-w packets.cap
    
pregunta user50189 17.07.2014 - 14:23
fuente

2 respuestas

1

El prefijo "basura" de los datos que le interesan son las capas de protocolo (ethernet, ip y encabezados de transporte)

Cuando guarda los datos capturados con dumpcap, también está grabando estas capas de protocolo.

Para filtrarlos y ver solo los datos TCP, debe procesar sus datos a través de un programa. Tcpflow es una herramienta que puede extraer datos de paquetes tcp.

Echa un vistazo a esto pregunta, que es esencialmente la misma que estás preguntando.

En su escenario, desearía que el comando fuera algo como:

tcpflow -C -r <your-pcap-file>
    
respondido por el Dog eat cat world 17.07.2014 - 14:39
fuente
-1

¿Son todas las líneas iguales a la de tu ejemplo?

Suponiendo que esto esté en un sistema * nix, podría usar grep o awk, o una combinación de los dos, por ejemplo:

cat dumpfile | grep HTTP

o

cat dumpfile | awk -F; '{print $1}'
    
respondido por el TimC 17.07.2014 - 14:27
fuente

Lea otras preguntas en las etiquetas