含有某些价值TCP转储过滤器的请求

我现在的tcpdump的操作不登录某个接口的HTTP端口上的所有请求：含有某些价值TCP转储过滤器的请求

tcpdump -i eth0 -C 100 -W 100 -w traffic port http

的问题是，在这一点上的tcpdump正在收集所有的请求（即使有敏感信息我登录页面）。在这一点上，我必须通过我的tcpdump文件egrep，并egrep这些文件将它们放出。有什么方法可以在我的请求中集成搜索某些文本值，如果它们存在 - 不要将此请求记录到文件中？

您可以使用tshark（由wireshark创建的CLI）而不是tcpdump，它允许您运行lua脚本。

这是一个相当高级的话题，但值得一试，你可以看看：

恕我直言，你不应该解决这个问题，正则表达式，你是模糊敏感信息的更好（打印** **），而不是完全删除它们。

也有可能将敏感信息发布到端点/login，并且由于Tshark在您的lua脚本中解析HTTP协议，因此您可以根据路径字段来编写决策。

2017-04-06 21:18:57 Tiago

或者有没有什么办法可以将数据从tcpdump传递到文件，而是传递到下一个grep后面的管道？ –

这取决于你想要的输出，如果这样做，你会得到一个文本文件，这可能是你的用例，但理想情况下，你有一个pcap文件，你可以进一步分析。但是，是的，您可以将有效负载输出到STDOUT并使用grep。 'tcpdump -As 1024'将发送第一个1024字节到STDOUT – Tiago

不会流水化tcpdump，然后将它保存到一个文件（grepping后）会以与tcpdump相同的格式将文件保存到文件本身？ –

回答