Wireshark lua 플러그인 대량 조회 메시지에 지정된 내용
1026 단어 Wireshark 시작 단계부터 마스터까지
wireshark lua 인터페이스를 소개하는 이유는 wireshark의 공식 방문 문서가 대외 인터페이스에 대한 설명만 제공하고 설명이 매우 간결하기 때문이다.이 인터페이스를 사용해 본 적이 없는 학우에게는 도저히 손댈 수가 없으니 네가 공식 문서를 보러 가는 것을 믿지 못하겠다.나는 끊임없이 수요를 사용하는 구동에서 각종 인터페이스 방법을 시도하고 나서야 경험담을 얻었다.이 절에서 소개하고자 하는 장면은 HTTP 프로토콜의 HOST와 UA를 대량으로 추출하는 것이다.이러한 요구 사항만 충족하면 다음 명령을 사용할 수 있습니다.
HTTP host 필드 추출
tshark -r xx.pcap -T fields -e http.host -E header=y -E separator=, | sort | uniq -c >> host.txt
마찬가지로 UA 명령을 추출합니다.
tshark -r xx.pcap -T fields -e http.user_agent -E header=y -E separator=, | sort | uniq -c >> ua.txt
상기 두 명령은 주로 Wireshark의 명령행 버전인 Tshark를 이용하여 http를 실현했다.host 및 http.user_agent는 필터가 필터한 내용을 출력하고 리눅스의sort 정렬을 더하여 uniq 리셋 명령을 마지막으로 파일에 기록합니다.물론 Tshark 명령과 그 매개 변수에 대한 설명은 본 칼럼 앞의 이 부분의 내용을 참고할 수 있습니다.