论坛 › ＰＣ数码 › wireshark居然不支持gzip自动解压，求支持gzip解压的pcap工具

董卓 发表于 2014-1-11 12:48

wireshark居然不支持gzip自动解压，求支持gzip解压的pcap工具

rt.exe

董卓 发表于 2014-1-11 12:51

本帖最后由 董卓 于 2014-1-11 13:05 编辑

原来最后一个包有组合出来的Uncompressed entity body
好吧，没看清……

不过能够把这个属性直接放到wireshark的主列表上么？

定义custom columns能够把类似http.content_length的属性放上来，对应这个属性有值的包下面肯定有Uncompressed entity body，但翻了半天http下面的属性，好像没有能够直接取到Uncompressed entity body的么……

SSF 发表于 2014-1-11 16:45

只用pcap格式……gzip啥好处吗？

----发送自 samsung GT-I9300,Android 4.1.2

董卓 发表于 2014-1-11 18:15

SSF 发表于 2014-1-11 16:45
只用pcap格式……gzip啥好处吗？

----发送自 samsung GT-I9300,Android 4.1.2

http在httpserver和浏览器之间用gzip压缩来减小传输量是很常见的事情
你要看原始报文就得能够解gzip
不然压缩过的文本谁看得懂

magi 发表于 2014-1-12 09:56

董卓 发表于 2014-1-11 18:15
http在httpserver和浏览器之间用gzip压缩来减小传输量是很常见的事情
你要看原始报文就得能够解gzip
不然 ...

调试http的话，为什么不直接指定
Accept-Encoding:
？

tsvn 发表于 2014-1-14 22:24

File-->Export Objects-->HTTP
在列举出的http报文中选择你要查看的save as出来
即可以看到解码之后的报文内容

robbielj 发表于 2014-1-14 23:26

http?
用fiddler可以吧

系统杀手 发表于 2014-1-14 23:58

fiddler在遇到没法使用代理服务器的系统上就吃瘪了

例如某些该死的廉价嵌入式设备

董卓 发表于 2014-1-16 20:01

tsvn 发表于 2014-1-14 22:24
File-->Export Objects-->HTTP
在列举出的http报文中选择你要查看的save as出来
即可以看到解码之后的报文 ...

这一次一次save操作有多难……
需要的是批量性质的操作
而且http长过一个tcp pack之后还得先定位到最后的组合包

@magi
Accept Encoding这不是每个app server都会好好响应你的，尤其是想做点不太合法的事情的时候，自己送个和客户端不一样的头上去，那不是找死吗

正如楼上两位所说的，就是fiddler搞不定该死的移动设备

tsvn 发表于 2014-1-16 21:57

董卓 发表于 2014-1-16 20:01
这一次一次save操作有多难……
需要的是批量性质的操作
而且http长过一个tcp pack之后还得先定位到最后的 ...

不太明白"这一次一次save操作有多难……"的意思，是说要在抓包一个一个包挑着找的意思么?
http 长过一个tcp pack是啥?MTU 分包? follow tcp stream 不行么?按TCP连接过滤不好么 tcp.stream eq 0
不知道你有没有试下
列出的是已经组好的http报文，比如请求index.html，大小有100K,分包可能有几十个，选到index.html保存就行了
也有当前抓包中 save all，保存所有http内容的选项，自己搜索

董卓 发表于 2014-1-17 21:50

本帖最后由 董卓 于 2014-1-17 21:57 编辑

tsvn 发表于 2014-1-16 21:57
不太明白"这一次一次save操作有多难……"的意思，是说要在抓包一个一个包挑着找的意思么?
http 长过一个t ...
无图还真不好说话，放图上来

http://oi42.tinypic.com/125i15j.jpg

上面的图里面我已经加了几custom列，类似tcp.stream，http.content_length，http.request.full_uri
在http.content_length有值的行上也可以看到Uncompressed entity body信息了，但我需要的是把这个Uncompressed entity body，像http.request.full_uri被我以httpuri的名字放到列表上一样，直接放到这列表上来
而不是要我人眼找到http.content_length有值，然后再选中这个有值行，然后在每行每行的点右键，点导出
我需要的是一下子在这个列表上直接看到全部的Uncompressed entity body（如果该行有的话），方便我直接分析

tency 发表于 2014-1-18 09:26

lz，你要抓浏览器请求的话，根本没必要上wireshark这么高端的东西，直接用浏览器自带的http请求查看不就行了。

如果是抓应用的http请求，可以用FIDDLER做请求代理

magi 发表于 2014-1-18 13:17

想干坏事啊…终端设备的话那还是dns或者路由表上动动手脚，写个反向代理顺便就解包输出了吧，正好测试的时候大概也会用得上？

----发送自 Sony SO-03E,Android 4.1.2

董卓 发表于 2014-1-18 18:10

magi 发表于 2014-1-18 13:17
想干坏事啊…终端设备的话那还是dns或者路由表上动动手脚，写个反向代理顺便就解包输出了吧，正好测试的时 ...

还要手写反向代理……
就没能有个工具直接简单玩玩么

查看完整版本: wireshark居然不支持gzip自动解压，求支持gzip解压的pcap工具