Wireshark lua 플러그인 대량 조회 메시지에 지정된 내용

이 소절부터 제 칼럼인'wireshark은 입문에서 정통까지'는 정식으로 여러분에게wireshark lua 플러그인 부분의 실전 내용을 소개하고 장면 예시를 통해wireshark이 제공하는lua API 인터페이스를 하나하나 설명해 드리겠습니다. 이 칼럼의 이 부분을 읽은 후에 당신은wireshark의 사용과 이해에 대해 새로운 단계에 도달할 것이라고 믿습니다.
wireshark lua 인터페이스를 소개하는 이유는 wireshark의 공식 방문 문서가 대외 인터페이스에 대한 설명만 제공하고 설명이 매우 간결하기 때문이다.이 인터페이스를 사용해 본 적이 없는 학우에게는 도저히 손댈 수가 없으니 네가 공식 문서를 보러 가는 것을 믿지 못하겠다.나는 끊임없이 수요를 사용하는 구동에서 각종 인터페이스 방법을 시도하고 나서야 경험담을 얻었다.이 절에서 소개하고자 하는 장면은 HTTP 프로토콜의 HOST와 UA를 대량으로 추출하는 것이다.이러한 요구 사항만 충족하면 다음 명령을 사용할 수 있습니다.
HTTP host 필드 추출

tshark -r xx.pcap -T fields -e http.host -E header=y -E separator=, | sort | uniq -c >> host.txt

마찬가지로 UA 명령을 추출합니다.

tshark -r  xx.pcap -T fields -e http.user_agent -E header=y -E separator=, | sort | uniq -c >> ua.txt

상기 두 명령은 주로 Wireshark의 명령행 버전인 Tshark를 이용하여 http를 실현했다.host 및 http.user_agent는 필터가 필터한 내용을 출력하고 리눅스의sort 정렬을 더하여 uniq 리셋 명령을 마지막으로 파일에 기록합니다.물론 Tshark 명령과 그 매개 변수에 대한 설명은 본 칼럼 앞의 이 부분의 내용을 참고할 수 있습니다.