2015-08-28 38 views
5

Wireshark'ta "TCP akışını takip et" seçeneğini kullanırsanız, istemci sunucu diyalogu için çok güzel bir ekran elde edersiniz.Wireshark: İstemci-sunucu iletişim kutusunu boşalt

İstemciden bir renk, diğer renk sunucudır.

Kimin ne dediğini kaybetmeden ascii'ye dökmenin bir yolu var mı? Örneğin

:

Ben ekran kaçınmak istiyorum
server> 220 "Welcome to FTP service for foo-server." 
client> USER baruser 
server> 331 Please specify the password. 
client> supersecret 

. Satırlara "sunucu>" ve "istemci>" eklenmesi hataya neden olur.

+0

Başlık dosyası olarak kaydetmeyi denediniz mi? – Sunny

+0

Paket listesini her türlü biçime aktarabilirsiniz. Hedefinize ulaşmak için bir csv olarak dışa aktarmayı deneyebilirsiniz. –

+0

@Bas "TCP Akışı Takip Et" iletişim kutusunun dışa aktarma listesinde "csv" göremiyorum. ASCII, EBCDIC, Hex Dump, C Arrays, Raw'ı görüyorum. Bu formatların hiçbiri insan gözü için okunması kolay değildir. Kimin (müşteri veya sunucu) ne söylediğini hızlı göremezsin. – guettli

cevap

2

bir GUI versiyonu ile mümkün olmayabilir, ancak ile elde var console versiontshark: (: 1 gibi):

tshark -r capture.pcap -qz follow,tcp,ascii,1 > stream.txt

tshark -r capture.pcap -qz follow,tcp,ascii,<stream_id> > stream.txt

gerçek akış numarası ile <stream_id> yerine

Bu, bir ASCII dosyası çıkartacaktır. Doğrudan GUI sürümünden tasarruf etmekten nasıl daha iyidir? İyi: ilk birleşme noktası tarafından gönderilen verileri ayırt etmek için bir sekme öneki ikinci birleşme noktası olan tarafından gönderilen

  • verileri.

  • ASCII modunda çıkış yeni satır içerebilir yana

    , çıkışı ve ayrıca bir yeni satır her kısmın uzunluğu her çıktı bölümü önce gelir.

Bu dosya kolayca ayrıştırılamaz hale getirir. Örnek çıkışı:

=================================================================== 
Follow: tcp,ascii 
Filter: tcp.stream eq 1 
Node 0: xxx.xxx.xxx.xxx:51343 
Node 1: yyy.yyy.yyy.yyy:80 
786 
GET ... 
Host: ... 
Connection: keep-alive 
Pragma: no-cache 
Cache-Control: no-cache 
Accept: */* 
User-Agent: ... 
Referer: ... 
Accept-Encoding: ... 
Accept-Language: ... 
Cookie: ... 

    235 
HTTP/1.1 200 OK 
Cache-Control: no-cache, no-store 
Pragma: no-cache 
Content-Type: ... 
Expires: -1 
X-Request-Guid: ... 
Date: Mon, 31 Aug 2015 10:55:46 GMT 
Content-Length: 0   
=================================================================== 

786\nNode 0 ilk çıkış bölümünün uzunluğudur. \t235\n, Node 1'dan gelen yanıt bölümünün özeti ve bu şekilde devam ediyor.

+0

Yukarıdaki örnek komut dosyası, bazı yamalara ihtiyaç duyar: http://noahdavids.org/self_published/tshark-follow-stream.html – aergistal

+1

Bunu kullanıyorum: tshark -r tmp/ftp_2015-12-16.pcap -R ftp -Daha "Çıktı" ve "Yanıt" çıktı. Bu şekilde, müşteri tarafından neyin * konuşulduğunu ve sunucu tarafından neyin açık olduğunu görebilirim. – guettli

İlgili konular