개체: 특정 헤더 문자열이 있는 pcap 파일에서 HTTP 서버의 IP 주소를 찾습니다. -l플러시 옵션을 사용할 수 있거나 사용해야 합니까 ?
한 가지 접근 방식: 다음과 같이 하였는데, 단축할 수 있는지 궁금합니다. 질문이 너무 광범위하다면 조언해 주세요.
tshark-r문서.pcap -T 필드 -e ip.src -e http.server >이름. TXT && 고양이이름.txt | uniq-c | grep "xxx_xxx"
답변1
ServerHTTP 응답도 포함하고 헤더에 가 포함된 프레임에서 src IP 주소를 계산하려면 xxx_xxx다음을 수행할 수 있습니다.
tshark -r file.pcap -T fields -e ip.src 'http.server contains "xxx_xxx"' |
sort | uniq -c | sort -nr
바라보다의사Wireshark 디스플레이 필터의 구문입니다.
다음과 같은 일부 tshark분석 보고서( 포함 -z)도 유용할 수 있습니다.
tshark -r file.pcap -z http_srv,tree -2R 'http.server contains "xxx_xxx"'
tshark -r file.pcap -z hosts,ip -2R 'http.server contains "xxx_xxx"'
tshark -r file.pcap -z conv,ip -2R 'http.server contains "xxx_xxx"'