Sans avoir à lancer Wireshark ou stocker et analyser les paquets plus tard.Comment démasquer les websockets lors de l'utilisation de tcpdump ou de tshark?
Comment avoir une vue en direct de ceci sans le charabia que font les websockets?
tcpdump -nnXSs 0 port 1234
La fonctionnalité a été supprimée dans la version 2.0 de Wireshark.
doivent donc obtenir les packages suivants à partir d'Ubuntu fidèle 14.04 et les installer:
sudo dpkg -i wireshark-common_1.10.6-1_amd64.deb tshark_1.10.6-1_amd64.deb libwireshark3_1.10.6-1_amd64.deb libwsutil3_1.10.6-1_amd64.deb libwiretap3_1.10.6-1_amd64.deb libgnutls26_2.12.23-12ubuntu2.7_amd64.deb libgcrypt11_1.5.3-2ubuntu4.4_amd64.deb
mises à jour Désactiver:
sudo apt-mark hold tshark
dépendances Fix:
sudo apt install -f
Commande à contenu de vidage:
tshark -e websocket.payload.text_unmask -Tfields port 1234
tshark -r out.pcap -Y websocket.payload -E occurrence=l -T fields -e text
Le texte démasqué est transféré au dissecteur « données de texte basé sur la ligne », vous devez donc utiliser le sélecteur de champ pour cela, et également définir l'occurrence à la dernière instance de ce champ le paquet pour enlever "le bruit". J'ai également ajouté un filtre pour limiter la sortie aux paquets qui contiennent une charge utile websocket. Par grahamb dans https://ask.wireshark.org/questions/60725/how-to-dump-websockets-live-with-tshark