Project

General

Profile

pcap 取得時のパケットフィルタの条件追加

Added by yujihara 6 months ago

HTTPでアクセスしているURLのリストを取得したいため、
http.request.method "CONNECT" を持つパケットのみフィルタしてpcapファイルに出力が出来るようにしてほしい。

絞り込みのフィルタとして、http.request.method == "CONNECT" でフィルタ出来るようになりませんか?

新機能として、ご検討くださいますようよろしくお願いします。


Replies (2)

RE: pcap 取得時のパケットフィルタの条件追加 - Added by yujihara 4 months ago

yujihara さんは書きました:

HTTPでアクセスしているURLのリストを取得したいため、
http.request.method "CONNECT" を持つパケットのみフィルタしてpcapファイルに出力が出来るようにしてほしい。

絞り込みのフィルタとして、http.request.method == "CONNECT" でフィルタ出来るようになりませんか?

新機能として、ご検討くださいますようよろしくお願いします。

正確には、Wiresharkの統計 >HTTP>負荷分散 または 要求で出てくるような、HTTPでアクセスしたホスト名のリストを作成したり、トラフィックを追ったりできればいいのです。

RE: pcap 取得時のパケットフィルタの条件追加 - Added by komoriya 4 months ago

現在実装されているHTTPを解釈する機能は、次の要素でのindexの作成となっています。

  • PROTOCOL
  • IP_SRC_ADDR
    IPv4とIPv6をサポートしています。
  • IP_DST_ADDR
    IPv4とIPv6をサポートしています。
  • L4_SRC_PORT
  • L4_DST_PORT
  • ICMP_TYPE
    ICMP タイプとICMP コードを結合したもの
  • HTTP_URL_NO_QUERY
    URLの情報からquery optionを除外したもの

これらのindexされた要素で絞り込みをかけてパケットを抽出することが可能です。
この内容でのindexを利用する場合には、loaderを12に設定してください。
momentumでは次のコマンドでloaderの設定確認と設定変更が可能です。

# /root/momentum/bin/set_loader.sh 
usage: /root/momentum/bin/set_loader.sh command
  command :
  -show                : show current loader information
  -check [loader_type] : check loader information
  -set   [loader_type] : set loader
          loader_type  : 0 1 2 3 4 6 7 8 10 11 12 13 14 20 21
# 

残念ながら現時点ではhttp.request.methodは解釈される要素の中にありません。
実装済みのなんらかの要素で絞り込んで一旦抽出いただき、そのPCAPファイルをwiresharkなどを使ってフィルタして希望のデータを取得いただくことになると思います。

    (1-2/2)