Tshark Filter http/https Anfrage erhalten

Question

Ich muss nur HTTP GET Anfragen HOST einmal (nur die Webseite), nur von definierten Quelle IP, nicht andere Informationen/Daten.

Die erste Anfrage an diese URL.

Zum Beispiel:

Das erste Paket, was vom Client zum Server geht.

GET/HTTP/1.1\r\n 

Welche Filter soll ich hinzufügen? Ich habe versucht, wenige, aber immer noch zu viele Informationen/Daten ...

Gibt es irgendwelche Möglichkeiten, HTTPS erste Anfrage Paket auch aussehen? Um zu sehen, wohin der Client die Anfrage sendet?

Answer 1

Wenn Sie auf einer Un * x-Plattform sind, können Sie so etwas wie versuchen:

tshark -r file.pcap -Y 'ip.src == 1.2.3.4 and http.request.method == "GET"' -T fields -e http.request.method -e http.request.version -e http.request.uri | head -n 1 

... oder vielleicht wollen Sie http.request.full_uri statt http.request.uri benutzen?

Wenn Sie unter Windows sind, dann müssen Sie Cygwin coreutils installieren, um head zu verwenden, und Sie können ein wenig anders haben, um die Dinge zu zitieren, zB:

tshark -r file.pcap -Y "ip.src == 1.2.3.4 and http.request.method == \"GET\"" -T fields -e http.request.method -e http.request.version -e http.request.uri | head -n 1 

Für https, werden Sie müssen das SSL entschlüsseln. Sie können lesen, wie man das auf dem Wireshark SSL wiki page macht.