Tshark, как настроить запись в лог только http протокола?
Столкнулся с проблемой, не могу записать через tshark в файл дампа траффик содержащий только http протокол, а всё остальное чтобы не записывалось в файл.
В мануалах, к сожалению описано лишь как прочесть из уже имеющегося дампа, убрав ненужное.
Пробовал запускать так:
sudo tshark -i eth0 -w test.pcap -d tcp.port==80,http
так:
sudo tshark -i eth0 "http" -w test.pcap
так:
sudo tshark -i eth0 "http" -w test.pcap -f "protocol:http"
К сожалению, или вылетает с ошибкой, или опять же пишет в test.pcap всё подряд.
Кто знает, подскажите команду, какой параметр надо дописать. Буду очень признателен за помощь.
Не вариант, к сожалению. Помимо http запросов там тысячи TCP запросов, на один http запрос идут сотнями мусорных TCP пакетов. Очень желательно, чтобы в лог писались только http запросы, без мусора, и не желательно ограничивать номером порта, так как многие сайты висят на альтернативных портах, типа 8080 и так далее.
Полагаю, силами tshark вам не отфильтровать протокол L7. Возможно, подходящим вариантом будет отфильтровывать этот трафик в iptables с использованием l7 filter для вычленения только HTTP, а после уже дампить через tshark/tcpdump.
Средний
