Сохранение HTTP-пакетов
Чтобы отфильтровать для http-трафика c в tshark, вы должны использовать фильтр отображения (-Y). Это пример вывода, показывающий, как это будет выглядеть:
$ tshark -r input.pcap -Y http
25 1.051399 10.8.143.109 → server-13-35-127-122.sfo5.r.cloudfront.net HTTP
630 GET /online HTTP/1.1 0c:8d:db:90:cf:38 ← 6c:96:cf:d8:7f:e7
34 1.078368 server-13-35-127-122.sfo5.r.cloudfront.net → 10.8.143.109 HTTP
404 HTTP/1.1 304 Not Modified 6c:96:cf:d8:7f:e7 ← 0c:8d:db:90:cf:38
Показывает их вывод в виде текста (по умолчанию). Чтобы вывести их в новый файл, используйте флаг -w:
$ tshark -r input.pcap -Y http -w modified.pcap
Экспорт файлов
Вы также можете экспортировать определенные типы текстовых объектов из tshark
$ output_folder="files"
$ tshark -r input.pcap --export-object http,$output_folder
$ ls $output_folder
example.png example.html ...
В этой статье вы узнаете, как сгенерировать захват пакета, из которого затем можно экспортировать файлы HTTP.