首页 / LINUX / linux – 如何在写入文件之前过滤tshark结果?

linux – 如何在写入文件之前过滤tshark结果?

内容导读

互联网集市收集整理的这篇技术教程文章主要介绍了linux – 如何在写入文件之前过滤tshark结果?,小编现在分享给大家,供广大互联网技能从业者学习和参考。文章包含3343字,纯文字阅读大概需要5分钟

内容图文

我尝试从我的服务器计算GET请求.

我用tshark.

我运行follow命令来过滤传入流量并仅获取GET请求:

/usr/sbin/tshark   -b filesize:1024000  -b files:1  'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)' -w samples.pcap -R 'http.request.method == "GET"'

如您所见,我定义了将过滤结果存储到1个文件,最大大小为1G,名称为:samples.pcap.

问题是,当我尝试打开pcap文件时,我看到tshark存储了所有流量:

3245 172.692247  1.1.1.1 -> 2.2.2.2 HTTP [TCP Retransmission] Continuation or non-HTTP traffic
3246 172.730928  1.1.1.1 -> 2.2.2.2 HTTP Continuation or non-HTTP traffic
3247 172.731944  1.1.1.1 -> 2.2.2.2 HTTP Continuation or non-HTTP traffic
3248 172.791934  1.1.1.1 -> 2.2.2.2  HTTP GET /services/client/client.php?cnc=13 HTTP/1.1
3249 172.825303  1.1.1.1 -> 2.2.2.2 HTTP HTTP/1.1 200 OK [Unreassembled Packet [incorrect TCP checksum]]
3250 172.826329  1.1.1.1 -> 2.2.2.2 HTTP Continuation or non-HTTP traffic
3251 172.826341  1.1.1.1 -> 2.2.2.2 HTTP Continuation or non-HTTP traffic
3252 172.826347  1.1.1.1 -> 2.2.2.2 HTTP Continuation or non-HTTP traffic
3253 172.826354  1.1.1.1 -> 2.2.2.2 HTTP Continuation or non-HTTP traffic
3254 172.826359  1.1.1.1 -> 2.2.2.2 HTTP Continuation or non-HTTP traffic

我有很大的流量,在10分钟内我得到pcap文件大小950M.解析它需要大约4分钟.

有趣的是当我尝试运行它而不将它存储到本地文件(但在/ tmp下):

/usr/sbin/tshark 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)' -R 'http.request.method == "GET"':

3.776587 1.1.1.1 -> 2.2.2.2  HTTP GET /services/client/client.php?cnc=13 HTTP/1.1
4.775624 1.1.1.1 -> 2.2.2.2  HTTP GET /services/client/clsWebClient.php HTTP/1.1
8.804702 1.1.1.1 -> 2.2.2.2  HTTP GET /services/client/client.php?cnc=13 HTTP/1.1

它工作,但在这种情况下,我有/ tmp几个大型1G的临时文件.

我错过了什么?

谢谢

================================================== =====

编辑

Lars要求添加-f:

sudo /usr/sbin/tshark   -T fields -e 'http.request.uri contains "cnc=13"'           -b filesize:1024000  -b files:1           -f 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'           -w samples.pcap

没有帮助,仍然samples.pcap存储所有流量:

 74   6.908388  172.20.0.23 -> 89.78.170.96 HTTP Continuation or non-HTTP traffic
 75   6.908394  172.20.0.23 -> 89.78.170.96 HTTP Continuation or non-HTTP traffic

解决方法:

当您想要组合-w和bpf数据包过滤器(即,您在-f上放置的内容)时,这似乎有效:

 tcpdump -nli en1 -w - 'tcp port 80' | tshark -i - -R'http.request.method == "GET"'

(用tshark替换初始tcpdump会导致本地系统出现此错误:
     tshark:无法识别的libpcap格式)

从版本1.4.0开始捕获(或从捕获中读取)并再次写出结果时,似乎不再支持保存读取过滤器(-R)的结果(参见:http://ask.wireshark.org/questions/10397/read-filters-arent-supported-when-capturing-and-saving-the-captured-packets).据推测1.4.0之前的版本允许写入pcap并使用-b限制输出(尚未测试).

如果你只想要-R的文本输出(而不是pcap输出).我认为上面的命令将是你的解决方案.

为了限制你的输出(即你提到你只是想采样)你可以使用head -c< bytes>在处理管道的任何一点:

tcpdump -nli en1 -w - 'tcp port 80' |   tshark -i - -R'http.request.method == "GET"' |   head -c 1024000 > output.txt

生成一个1024000字节的文本输出文件,名为output.txt或

tcpdump -nli en1 -w - 'tcp port 80' |   head -c 1024000 |   tshark -i - -R'http.request.method == "GET"' > output.txt

处理为TCP端口80预先过滤的102400字节的pcap输入,并将文本输出放入名为output.txt的文件中

内容总结

以上是互联网集市为您收集整理的linux – 如何在写入文件之前过滤tshark结果?全部内容,希望文章能够帮你解决linux – 如何在写入文件之前过滤tshark结果?所遇到的程序开发问题。 如果觉得互联网集市技术教程内容还不错,欢迎将互联网集市网站推荐给程序员好友。

内容备注

版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 gblab@vip.qq.com 举报,一经查实,本站将立刻删除。

内容手机端

扫描二维码推送至手机访问。

本文链接:https://qyyshop.com/info/969976.html

来源:【匿名】