如何從大型 pcap 文件中導出 1000 多個 http 請求正文？

我有一個包含 HTTP 請求的 pcap 文件（~2.3G）。我需要以某種方式提取每個請求的主體，以便進一步處理它。每個請求在其自己的文件中都可以正常工作，但我可以靈活處理。

我在 tshark 中發現了一些有希望的東西，因為這個命令幾乎可以滿足我的需要：

tshark -r capture.pcap --export-objects "http,data"

我得到一個文件夾，裡面有一堆文件，每個文件都包含一個請求正文。

但是，它只輸出前 1000 個請求。我怎樣才能得到其餘的請求？

嘗試執行tshark -r events.pcap -Y "http.request" -T fields -e http.file_data。

-Y "http.request"- 過濾作為 http 請求的數據包

-T fields -e http.file_data- 將輸出欄位設置為請求正文

編輯：對於大文件，您可能需要使用editcap 之類的工具拆分擷取。

引用自：https://serverfault.com/questions/897336