Назад | Перейти на главную страницу

Сложная (вложенная и т. Д.) Фильтрация пакетов из файлов .pcap с использованием tshark или других инструментов

Несколько заметок заранее

Задание

Я пытаюсь выполнить несколько сложных запросов по предварительно записанному трафику, например, когда результат запроса требуется для другого запроса. Случайные (и мнимые) примеры:

  1. Узнайте IP-адрес конкретного клиента, который запросил /GIVEN_PATH через HTTP / 1.1, а затем узнать все запросы с этого клиентского IP.
  2. Узнайте все потоки TCP, для которых согласован запрос клиента h2 (HTTP / 2 через TLS), а затем узнайте комплекты шифров TLS, используемые для таких TCP-потоков.

Что я пробовал и пытаюсь

У меня не было большого опыта в таких областях, поэтому я потратил некоторое время на проверку wireshark/tsharkс страница руководства, руководство пользователя по фильтрам отображения, и несколько примеров на его вики-сайте. К сожалению, я еще не нашел правильного ответа.

То, что я сейчас использую (только для довольно простых случаев), - это программирование оболочки. Примеры:

(хм, я даже подумал о преобразовании пакетов в JSON и запросе с jq : facepalm :)

Требуются советы

Не могли бы вы помочь предложить:

  1. Если есть какой-либо подход к выполнению запросов с использованием tshark
  2. Или, если есть другие подходящие инструменты / подходы