Ohne dass wir Wireshark starten oder Pakete später speichern und analysieren müssen.Wie entlarven Sie Websockets, wenn Sie tcpdump oder tshark verwenden?
Wie haben Sie eine Live-Ansicht von diesem ohne diesen Kauderwelsch, den Websockets tun?
tcpdump -nnXSs 0 port 1234
Die Funktion wurde in der Version 2.0 des Wireshark entfernt.
Also müssen die folgenden Pakete von Ubuntu treuen 14.04 bekommen und installieren:
sudo dpkg -i wireshark-common_1.10.6-1_amd64.deb tshark_1.10.6-1_amd64.deb libwireshark3_1.10.6-1_amd64.deb libwsutil3_1.10.6-1_amd64.deb libwiretap3_1.10.6-1_amd64.deb libgnutls26_2.12.23-12ubuntu2.7_amd64.deb libgcrypt11_1.5.3-2ubuntu4.4_amd64.deb
Disable-Updates:
sudo apt-mark hold tshark
Fix Abhängigkeiten:
sudo apt install -f
Command Speicherinhalt:
tshark -e websocket.payload.text_unmask -Tfields port 1234
tshark -r out.pcap -Y websocket.payload -E occurrence=l -T fields -e text
Der unmaskierte Text wird auf die „zeilenbasierten Textdaten“ Dissektor übergeben, so müssen Sie den Feldwähler dafür verwenden, und auch das Auftreten zur letzten Instanz dieses Feld gesetzt in das Paket, um "Rauschen" zu entfernen. Ich habe auch einen Filter hinzugefügt, um die Ausgabe auf Pakete zu beschränken, die eine Websocket-Nutzlast enthalten.
von graham in https://ask.wireshark.org/questions/60725/how-to-dump-websockets-live-with-tshark