tcpdump(pcap) 캡처 파일이 있고 모든 도메인을 추출하고 싶습니다. 이를 수행하기 위해 다음 명령을 사용합니다.
strings capture_file | grep -oiE '([a-zA-Z0-9][a-zA-Z0-9-]{1,61}\.){1,}(\.?[a-zA-Z]{2,}){1,}' | sort -u > out
하지만 저는 "Client Hello"라는 문자열과 관련된 것만 추출하고 싶습니다. Wireshark의 예:
Handshake Protocol: Client Hello
Server Name: example.com
이를 수행할 수 있는 방법이 있습니까?
답변1
Wireshark에서 pcap 파일을 엽니다. "Client Hello" 행을 선택한 다음 "Export Packet Parsing"을 선택하고 "As Plain Text"를 저장합니다. 파일을 "export.txt"로 저장하세요.
그런 다음 다음을 실행하십시오.
grep -i "Server Name" export.txt | grep -oiE '([a-zA-Z0-9][a-zA-Z0-9-]{1,61}\.){1,}(\.?[a-zA-Z]{2,}){1,}' | sort -u > out