У меня есть файл pcap (~ 2.3G), содержащий HTTP-запросы. Мне нужно каким-то образом извлечь тело каждого запроса, чтобы я мог его обработать. Каждый запрос в отдельном файле будет работать хорошо, но я могу быть гибким в этом отношении.
Я нашел что-то многообещающее в tshark, как и эта команда почти Что мне нужно:
tshark -r capture.pcap --export-objects "http,data"
Я получаю папку с кучей файлов, каждый из которых содержит одно тело запроса.
Однако он выводит только первые 1000 запросов. Как мне получить остальные запросы?
Попробуйте бежать tshark -r events.pcap -Y "http.request" -T fields -e http.file_data.
-Y "http.request" - фильтры для пакетов, являющихся http-запросами
-T fields -e http.file_data - устанавливает поля вывода только в тело запроса
РЕДАКТИРОВАТЬ: с большим файлом вам может потребоваться разделить ваши захваты с помощью такого инструмента, как editcap.