1. 首頁
  2. 問答
  3. 含有某些價值TCP轉儲過濾器的請求

含有某些價值TCP轉儲過濾器的請求

2017-04-06 36 views
0

我現在的tcpdump的操作不登錄某個接口的HTTP端口上的所有請求:含有某些價值TCP轉儲過濾器的請求

tcpdump -i eth0 -C 100 -W 100 -w traffic port http

的問題是,在這一點上的tcpdump正在收集所有的請求(即使有敏感信息我登錄頁面)。在這一點上,我必須通過我的tcpdump文件egrep,並egrep這些文件將它們放出。有什麼方法可以在我的請求中集成搜索某些文本值,如果它們存在 - 不要將此請求記錄到文件中?

來源

2017-04-06 Jakub Pastuszuk

回答

1

您可以使用tshark(由wireshark創建的CLI)而不是tcpdump,它允許您運行lua腳本。

這是一個相當高級的話題,但值得一試,你可以看看:

https://wiki.wireshark.org/Lua/Examples

恕我直言,你不應該解決這個問題,正則表達式,你是模糊敏感信息的更好(打印** **),而不是完全刪除它們。

也有可能將敏感信息發佈到端點/login,並且由於Tshark在您的lua腳本中解析HTTP協議,因此您可以根據路徑字段來編寫決策。

來源

2017-04-06 21:18:57 Tiago

+0

或者有沒有什麼辦法可以將數據從tcpdump傳遞到文件,而是傳遞到下一個grep後面的管道? –

+0

這取決於你想要的輸出,如果這樣做,你會得到一個文本文件,這可能是你的用例,但理想情況下,你有一個pcap文件,你可以進一步分析。但是,是的,您可以將有效負載輸出到STDOUT並使用grep。 'tcpdump -As 1024'將發送第一個1024字節到STDOUT – Tiago

+0

不會流水化tcpdump,然後將它保存到一個文件(grepping後)會以與tcpdump相同的格式將文件保存到文件本身? –

相關問題

 相關問題