tshark выводят только, когда строка подобрана
Вы могли использовать ngrep.
Это поддерживает оба pcap-фильтра и соответствие regex пакетов. Пример:
ngrep -tqW byline 'somethingbad|banana' port 80
найдет пакеты, содержащие запрос или органы по ответу, содержащие 'somethingbad' или 'банан' по порту 80.
Протесты:
- Если Ваше ключевое слово будет разделено через несколько пакетов, то оно не будет соответствовать.
- Только пакеты, соответствующие ключевому слову, будут получены. Таким образом, если Вы хотите все тело запроса/ответа, которое охватывает несколько пакетов, связанных с транзакцией, это становится более сложным.
Короткий ответ: Вы не можете.
Длинный ответ: Wireshark работает над уровнями 1-6 (лучше всего на уровнях 1-3). Это http-content-information находится на уровне 7.
Таким образом, если Ваш хотеть к вошедшему глубину здесь это - то, что Вы могли сделать (вдоль этих строк):
Постоянно наблюдайте tcp/http-traffic с tpcdump для пакетов, меньших, чем 900 байтов (типичная длина первоначального запроса HTTP). Если Вы встречаетесь с "интересными" URL, инициировали полный дамп рассматриваемого соединения.
Вы могли сделать это с постоянным полным дампом также, но в этом случае Ваш сервер сниффера больше всего propably войдет в проблемы производительности.
Любым путем Вам нужен второй процесс, который фильтрует/инициирует на tcpdump-выводе.
Альтернатива могла быть должной к сценарию wireshark- gui или использование это для получения рассматриваемых пакетов.