Você pode fazer isso com tshark
seguindo as etapas abaixo:
- Filtre todos os pacotes HTTP com um padrão específico na solicitação uri
- Siga o fluxo TCP com base em IP src, porta src, dst IP, porta dst
$ tshark -r x.pcap -R 'http.request.uri matches "^/resource/to/be/tested"' \ -T fields -e ip.src -e tcp.srcport -e ip.dst -e tcp.dstport | \ while read line; do tshark -r x.pcap \ -R "http && ip.addr == 'echo $line | awk '{ print $1 }'' && \ tcp.port == 'echo $line | awk '{ print $2 }'' && \ ip.addr == 'echo $line | awk '{ print $3 }'' && \ tcp.port == 'echo $line | awk '{ print $4 }''" \ echo done