オブジェクト:特定のヘッダー文字列を含むpcapファイルでHTTPサーバーのIPアドレスを見つけます。-lフラッシュオプションは有効または使用する必要がありますか?
1つのアプローチ:次のようにしましたが、短縮できるかどうか疑問に思います。質問が広すぎる場合はアドバイスしてください。
tshark-r文書.pcap -T フィールド -e ip.src -e http.server >名前。 TXT && 猫名前.txt | uniq-c | grep "xxx_xxx"
答え1
ServerHTTP 応答も含めて、ヘッダーに を含むフレームから src IP アドレスを計算するには、xxx_xxx次のようにします。
tshark -r file.pcap -T fields -e ip.src 'http.server contains "xxx_xxx"' |
sort | uniq -c | sort -nr
バラより医者Wireshark ディスプレイフィルタの構文です。
以下のいくつかのtshark分析レポート(含む-z)も役に立ちます。
tshark -r file.pcap -z http_srv,tree -2R 'http.server contains "xxx_xxx"'
tshark -r file.pcap -z hosts,ip -2R 'http.server contains "xxx_xxx"'
tshark -r file.pcap -z conv,ip -2R 'http.server contains "xxx_xxx"'