Фильтр для ТОЛЬКО первоначального запроса GET в tshark или tcpdump. В том числе HTTP и HTTPS

Я хочу, чтобы иметь возможность фильтровать ТОЛЬКО первоначальный запрос GET с помощью tshark или tcpdump. Это должно работать как для HTTP, так и для HTTPS-трафика. Это то, что я в настоящее время ...Фильтр для ТОЛЬКО первоначального запроса GET в tshark или tcpdump. В том числе HTTP и HTTPS

tshark -R '(http.request.method == "GET") && (http.request.uri =="/")'

Это возвращает GET запрос для всех HTTP-трафика, но ничего не делает, когда я иду на HTTPS сайтов. Любые идеи были бы замечательными! спасибо

источник

2012-10-29 agood25

Если вы не предоставили секретный ключ сертификата сервера вашему блоку мониторинга, вам не удастся с HTTPS. Для незашифрованного трафика вы также можете рассмотреть [подход Bro] (http://stackoverflow.com/a/11081321/1170277) для извлечения данных HTTP. – mavam

«https» - это HTTP-over-SSL/TLS-over-TCP. Часть «SSL/TLS» означает, что необработанные сегменты TCP содержат зашифрованные данные, поэтому они, например, не содержат строку «GET» (если только в результате чистой аварии что-то не происходит, чтобы шифровать последовательность байтов который включает 0x47 0x45 0x54).

Это означает, что любая программа, выполняющая фильтрацию, должна будет дешифровать данные в потоке. tcpdump не поддерживает дешифрование SSL/TLS; Wireshark/TShark can, in some cases, be configured to decrypt SSL/TLS traffic, if you can supply it with the information required to do so.

источник

2012-10-29 18:32:17

Фильтр для ТОЛЬКО первоначального запроса GET в tshark или tcpdump. В том числе HTTP и HTTPS

ответ

Смежные вопросы