Eu tenho um arquivo pcap (~ 2.3G) contendo solicitações HTTP. Eu preciso extrair o corpo de cada pedido de alguma forma que eu possa processá-lo ainda mais. Cada solicitação em seu próprio arquivo funcionaria bem, mas eu posso ser flexível nisso.
Eu encontrei algo promissor em tshark, já que este comando faz quase o que eu preciso:
tshark -r capture.pcap --export-objects "http,data"
Eu recebo uma pasta com vários arquivos, cada um contendo um corpo de solicitação.
No entanto, ele exibe apenas as primeiras 1000 solicitações. Como posso obter o resto dos pedidos?
Tente executar tshark -r events.pcap -Y "http.request" -T fields -e http.file_data .
-Y "http.request" - filtros para pacotes que são solicitações http
-T fields -e http.file_data - define os campos de saída apenas para o corpo da solicitação
EDIT: Com um arquivo grande, você pode precisar dividir suas capturas com uma ferramenta como editcap .