Имея файл pcap, я могу извлечь много информации из восстановленного HTTP-запроса и ответов, используя аккуратные фильтры, предоставляемые Wireshark . Я также смог разделить файл pcap на каждый TCP-поток .
Проблема, с которой я сейчас сталкиваюсь, заключается в том, что из всех крутых фильтров, которые я могу использовать с tshark
, я не могу найти тот, который позволил бы мне распечатать полные тела запросов / ответов. Я вызываю что-то вроде этого:
tshark -r dump.pcap -R "tcp.stream==123 and http.request" -T fields -e http.request.uri
Есть ли какое-то имя фильтра, которое я могу передать в -e
, чтобы получить тело запроса / ответа? Самое близкое, что я подошел, - это использовать флаг -V
, но он также выводит кучу информации, которая мне не нужна, и я хочу избежать необходимости использовать «тупой» фильтр.