Несколько заметок заранее
.pcap
файл, чем прямой эфир.Python
с помощью scapy
), а я хотел бы больше узнать об использовании инструментов командной строки.Задание
Я пытаюсь выполнить несколько сложных запросов по предварительно записанному трафику, например, когда результат запроса требуется для другого запроса. Случайные (и мнимые) примеры:
/GIVEN_PATH
через HTTP / 1.1, а затем узнать все запросы с этого клиентского IP.h2
(HTTP / 2 через TLS), а затем узнайте комплекты шифров TLS, используемые для таких TCP-потоков.Что я пробовал и пытаюсь
У меня не было большого опыта в таких областях, поэтому я потратил некоторое время на проверку wireshark
/tshark
с страница руководства, руководство пользователя по фильтрам отображения, и несколько примеров на его вики-сайте. К сожалению, я еще не нашел правильного ответа.
То, что я сейчас использую (только для довольно простых случаев), - это программирование оболочки. Примеры:
TMP_TCP_STREAM=$(tshark -nr a.pcap -Y "<some query>" -T fields -e tcp.stream); tshark -nr a.pcap -Y "tcp.stream eq $TMP_TCP_STREAM and <further query>"
tshark -nr a.pcap -Y "<some query>" -T fields -e tcp.stream | parallel tshark -nr a.pcap -Y "tcp.stream eq {} and <further query>"
(хм, я даже подумал о преобразовании пакетов в JSON и запросе с jq
: facepalm :)
Требуются советы
Не могли бы вы помочь предложить:
tshark