Wireshark lua 插件批量查询报文中指定内容

从本小节开始,我的专栏《wireshark从入门到精通》会正式跟大家介绍wireshark lua插件部分的实战内容,会通过一个个场景示例将wireshark所提供的lua API 接口进行一一的讲解,相信在阅读完本专栏的这部分内容之后,你一定会对于wireshark的使用和理解达到一个新的层次。

为什么要介绍wireshark lua接口呢,原因在于wireshark的官方访文档只提供了对外接口的说明,而且说明极为的简洁。对于没有使用过该接口的同学来说,根本无从下手,不信你去查看 官方文档 。我是在不断在一些使用需求的驱动中的尝试各种接口方法,才有了一些经验之谈。本节所要介绍的场景是批量的提取 HTTP 协议中的 HOST 和 UA。如果仅仅是实现这样一个需求,如下命令就可以实现:

提取HTTP host字段

tshark -r xx.pcap -T fields -e http.host -E header=y -E separator=, | sort | uniq -c >> host.txt

同理提取UA命令如下:

tshark -r  xx.pcap -T fields -e http.user_agent -E header=y -E separator=, | sort | uniq -c >> ua.txt

上述的两条命令主要是利用了 Wireshark 的命令行版本 Tshark 实现对于 http.host 以及 http.user_agent 这样显示过滤器所过滤内容的进行输出,加上 Linux 的 sort 排序,uniq 去重等命令最后写入文件。当然关于 Tshark 命令及其参数的解释,可以参考本专栏前面此部分的内容,这里

我来评几句
登录后评论

已发表评论数()

相关站点

+订阅
热门文章