tcpdump - apenas dados de pacote

3

Ao usar o tcpdump, como posso imprimir apenas os dados do pacote?

Por exemplo (anonimizado):

sudo tcpdump -X 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'

10:23:59.521551 IP dhcp227.asdfasdf.com.47142 > sjc-not7.sjc.dropbox.com.www: Flags [P.], seq 5074:5341, ack 6420, win 2448, options [nop,nop,TS val 7955335 ecr 585615613], length 267
    0x0000:  4500 013f 7913 4000 4006 72ee ac10 01e3  E..?y.@[email protected].....
    0x0010:  c732 d894 b826 0050 9455 3f65 51f9 a5f4  ./...&.P.U?eQ...
    0x0020:  8018 0990 4ee9 0000 0101 080a 0079 6387  ....N........yc.
    0x0030:  22e7 c8fd 4745 5420 2f73 7562 7363 7269  "...GET./subscri
    0x0040:  6265 3f68 6f73 745f 696e 743d 3832 3335  be?host_int=8232
    0x0050:  3635 3738 266e 735f 6d61 703d 3532 3434  6578&ns_map=3244
    0x0060:  3035 3238 5f31 3236 3932 3638 3038 3030  0528_12691680800
    0x0070:  3230 382c 3138 3635 3538 3235 5f32 3430  208,18655825_240
    0x0080:  3230 3033 3432 3836 3132 3738 352c 3330  2003428616785,30
    0x0090:  3331 3637 3932 5f34 3239 3532 3730 3436  316795_432527046
    0x00a0:  3339 352c 3430 3039 3039 3337 5f32 3335  395,40090937_235
    0x00b0:  3134 3831 3734 3937 3439 3034 3926 7473  1481749749049&ts
    0x00c0:  3d31 3331 3131 3532 3833 3920 4854 5450  =1311153839.HTTP
    0x00d0:  2f31 2e31 0d0a 486f 7374 3a20 6e6f 7469  /1.1..Host:.noti
    0x00e0:  6679 372e 6472 6f70 626f 782e 636f 6d0d  fy7.dropbox.com.
    0x00f0:  0a41 6363 6570 742d 456e 636f 6469 6e67  .Accept-Encoding
    0x0100:  3a20 6964 656e 7469 7479 0d0a 436f 6e6e  :.identity..Conn
    0x0110:  6563 7469 6f6e 3a20 6b65 6570 2d61 6c69  ection:.keep-ali
    0x0120:  7665 0d0a 582d 4472 6f70 626f 782d 4c6f  ve..X-Dropbox-Lo
    0x0130:  6361 6c65 3a20 656e 5f55 530d 0a0d 0a    cale:.en_US....

Eu só quero imprimir a coluna da direita (de preferência tudo em uma linha). Isso é possível? Eu não posso usar o Wireshark, já que tenho que fazer tudo na linha de comando.

    
por Eamorr 20.07.2011 / 11:28

2 respostas

5

Espero que isso ajude:

$ tshark -r test.pcap -O http -Vx -R "image-jfif"  > test.txt

Estou correndo:

$ tshark -v
TShark 1.6.1 (SVN Rev 38096 from /trunk-1.6)
    
por 21.07.2011 / 20:33
1

Na verdade, o pacote wireshark contém uma ferramenta de linha de comando, tshark . A seguinte chamada se aproxima do que eu acho que você quer.

tshark -i eth0 -n -Eheader=n
    
por 20.07.2011 / 11:37