linux – 如何在写入文件之前过滤tshark结果?
内容导读
互联网集市收集整理的这篇技术教程文章主要介绍了linux – 如何在写入文件之前过滤tshark结果?,小编现在分享给大家,供广大互联网技能从业者学习和参考。文章包含3343字,纯文字阅读大概需要5分钟。
内容图文
![linux – 如何在写入文件之前过滤tshark结果?](/upload/InfoBanner/zyjiaocheng/970/e768f4703557479d91195ea93ed62fc0.jpg)
我尝试从我的服务器计算GET请求.
我用tshark.
我运行follow命令来过滤传入流量并仅获取GET请求:
/usr/sbin/tshark -b filesize:1024000 -b files:1 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)' -w samples.pcap -R 'http.request.method == "GET"'
如您所见,我定义了将过滤结果存储到1个文件,最大大小为1G,名称为:samples.pcap.
问题是,当我尝试打开pcap文件时,我看到tshark存储了所有流量:
3245 172.692247 1.1.1.1 -> 2.2.2.2 HTTP [TCP Retransmission] Continuation or non-HTTP traffic
3246 172.730928 1.1.1.1 -> 2.2.2.2 HTTP Continuation or non-HTTP traffic
3247 172.731944 1.1.1.1 -> 2.2.2.2 HTTP Continuation or non-HTTP traffic
3248 172.791934 1.1.1.1 -> 2.2.2.2 HTTP GET /services/client/client.php?cnc=13 HTTP/1.1
3249 172.825303 1.1.1.1 -> 2.2.2.2 HTTP HTTP/1.1 200 OK [Unreassembled Packet [incorrect TCP checksum]]
3250 172.826329 1.1.1.1 -> 2.2.2.2 HTTP Continuation or non-HTTP traffic
3251 172.826341 1.1.1.1 -> 2.2.2.2 HTTP Continuation or non-HTTP traffic
3252 172.826347 1.1.1.1 -> 2.2.2.2 HTTP Continuation or non-HTTP traffic
3253 172.826354 1.1.1.1 -> 2.2.2.2 HTTP Continuation or non-HTTP traffic
3254 172.826359 1.1.1.1 -> 2.2.2.2 HTTP Continuation or non-HTTP traffic
我有很大的流量,在10分钟内我得到pcap文件大小950M.解析它需要大约4分钟.
有趣的是当我尝试运行它而不将它存储到本地文件(但在/ tmp下):
/usr/sbin/tshark 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)' -R 'http.request.method == "GET"':
3.776587 1.1.1.1 -> 2.2.2.2 HTTP GET /services/client/client.php?cnc=13 HTTP/1.1
4.775624 1.1.1.1 -> 2.2.2.2 HTTP GET /services/client/clsWebClient.php HTTP/1.1
8.804702 1.1.1.1 -> 2.2.2.2 HTTP GET /services/client/client.php?cnc=13 HTTP/1.1
它工作,但在这种情况下,我有/ tmp几个大型1G的临时文件.
我错过了什么?
谢谢
================================================== =====
编辑
Lars要求添加-f:
sudo /usr/sbin/tshark -T fields -e 'http.request.uri contains "cnc=13"' -b filesize:1024000 -b files:1 -f 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)' -w samples.pcap
没有帮助,仍然samples.pcap存储所有流量:
74 6.908388 172.20.0.23 -> 89.78.170.96 HTTP Continuation or non-HTTP traffic
75 6.908394 172.20.0.23 -> 89.78.170.96 HTTP Continuation or non-HTTP traffic
解决方法:
当您想要组合-w和bpf数据包过滤器(即,您在-f上放置的内容)时,这似乎有效:
tcpdump -nli en1 -w - 'tcp port 80' | tshark -i - -R'http.request.method == "GET"'
(用tshark替换初始tcpdump会导致本地系统出现此错误:
tshark:无法识别的libpcap格式)
从版本1.4.0开始捕获(或从捕获中读取)并再次写出结果时,似乎不再支持保存读取过滤器(-R)的结果(参见:http://ask.wireshark.org/questions/10397/read-filters-arent-supported-when-capturing-and-saving-the-captured-packets).据推测1.4.0之前的版本允许写入pcap并使用-b限制输出(尚未测试).
如果你只想要-R的文本输出(而不是pcap输出).我认为上面的命令将是你的解决方案.
为了限制你的输出(即你提到你只是想采样)你可以使用head -c< bytes>在处理管道的任何一点:
tcpdump -nli en1 -w - 'tcp port 80' | tshark -i - -R'http.request.method == "GET"' | head -c 1024000 > output.txt
生成一个1024000字节的文本输出文件,名为output.txt或
tcpdump -nli en1 -w - 'tcp port 80' | head -c 1024000 | tshark -i - -R'http.request.method == "GET"' > output.txt
处理为TCP端口80预先过滤的102400字节的pcap输入,并将文本输出放入名为output.txt的文件中
内容总结
以上是互联网集市为您收集整理的linux – 如何在写入文件之前过滤tshark结果?全部内容,希望文章能够帮你解决linux – 如何在写入文件之前过滤tshark结果?所遇到的程序开发问题。 如果觉得互联网集市技术教程内容还不错,欢迎将互联网集市网站推荐给程序员好友。
内容备注
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 gblab@vip.qq.com 举报,一经查实,本站将立刻删除。
内容手机端
扫描二维码推送至手机访问。