Диссектор HTTP, который читает из pcap

Я подозревал бы это tcpflow сделал бы Ваше задание достаточно хорошо, которое может взять pcap файл и разделить его в, он - составные части. Например, я просто сделал следующее как тест:

sudo tcpdump -i eth0 -n -s 0 -w /tmp/capt -v port 80

Затем перезагруженный Ваш вопрос, остановленный tcpdump, и затем работал:

tcpflow -r /tmp/capt

И получил приблизительно 20 файлов, каждый содержащий единственный Запрос HTTP или ответ (как соответствующие).

С другой стороны, я обычно просто иду легкий путь и открываю мои файлы получения в wireshark, режим "Analyze-> Follow TCP Stream" которого является чертовски потрясающим (кодированный цвет и все).

Оба из этих инструментов, между прочим, могут сделать захват пакетов самих, также - Вы не должны подавать их существующий захват пакетов через tcpdump.

Если у Вас есть определенная потребность проанализировать Трафик HTTP после того, как Вы разделили его, это довольно тривиально: протокол HTTP очень прост. В тривиальном (non-keepalive/pipelined) случае можно использовать следующее для получения заголовка ответа или запроса:

sed '/^\r$/q' <connectionfile>

И это для получения тела запроса/ответа:

sed -n '/^\r$/,$p' <connectionfile>

(Можно также передать вещи по каналу посредством тех команд sed, если Вам нравится).

На соединениях проверки активности затем необходимо начать получать немного scripty, но даже затем это - приблизительно 20 строк сценария, чтобы обработать эти два файла (К B, B к A), извлечь заголовки, считайте Довольную Длину, затем считайте тело - и если Вы сделаете какой-либо вид автоматизированной обработки, то Вы будете написанием кода, чтобы сделать тот материал так или иначе, таким образом, немного рассечения HTTP значительно не добавит к рабочей нагрузке.