tshark的使用

tshark可以提取pcap文件的uri信息，例如url中的name

tshark -r x.pcapng -e http.request.uri -T fields -Y 'http.request.uri' | grep -P 'name=[A-F0-9]{3}' | awk -F '=' '{printf $2}'

-r x.pcapng 表示从文件 x.pcapng 中读取网络数据包。
-e http.request.uri 指定要提取的字段为 HTTP 请求的 URI。
-T fields 表示输出仅包含指定的字段内容。
-Y 'http.request.uri' 是过滤表达式，只保留包含 HTTP 请求 URI 的数据包。

grep -P 'name=[A-F0-9]{3}' 是一个文本搜索命令，使用 Perl 正则表达式进行匹配。
在这里，它会从前一个命令的输出中筛选出包含形如 name=xxx（其中 xxx 是三位十六进制字符）的内容。

 

awk -F '=' '{printf $2}'：
-F '=' 表示使用等号作为字段分隔符。
'{printf $2}' 表示打印每行中以等号分隔的第二个字段，即提取出 name=xxx 中的 xxx 部分。

 

导出的http对象

执行结果为：

123404B03040A0001080000739C8C4B7B36E495200000001400000004000000666C616781CD460EB62015168D9E64B06FC1712365FDE5F987916DD8A52416E83FDE98FB504B01023F000A0001080000739C8C4B7B36E4952000000014000000040024000000000000002000000000000000666C61670A00200000000000010018000DB39B543D73D301A1ED91543D73D301F99066543D73D301504B0506000000000100010056000000420000000000

 

---

 

将usb流量数据导出

tshark -r k3y.pcapng -T fields -e usb.capdata | sed '/^\s*$/d' > usb.txt