Как перехватить все HTTP-пакеты с помощью tcpdump

Я хочу запустить tcpdump с некоторыми параметрами (все еще не знаю, что использовать), а затем загрузить страницу stackoverflow.com.

Выход должен быть HTTP-сообщением. Позже я хочу использовать его в качестве сценария оболочки, поэтому всякий раз, когда я хочу проверить HTTP-соединение с сайтом site.com, я просто могу запустить script.sh site.com.

Связь HTTP должна быть достаточно простой. Нравится:

GET /questions/9241391/how-to-capture-all-the-http-communication-data-using-tcp-dump
Host: stackoverflow.com
... 
...

HTTP/1.1 200 OK
Cache-Control: public, max-age=60
Content-Length: 35061
Content-Type: text/html; charset=utf-8
Expires: Sat, 11 Feb 2012 15:36:46 GMT
Last-Modified: Sat, 11 Feb 2012 15:35:46 GMT
Vary: *
Date: Sat, 11 Feb 2012 15:35:45 GMT


....
decoded deflated data
....

Теперь, какие параметры я должен использовать с tcpdump, чтобы захватить его?


bash http network-programming tcpdump
person Shiplu Mokaddim    schedule 11.02.2012    source источник
comment
похоже, что curl -v site.com - это то, что вам нужно. :)   -  person Mingjiang Shi    schedule 05.08.2015

Ответы (3)


arrow_upward
94
arrow_downward

Это может сделать ngrep

ngrep -q -d eth1 -W byline host stackoverflow.com and port 80 
       ^  ^       ^         ^        
       |  |       |         |
       |  |       |         |
       |  |       |         v
       |  |       |         filter expression
       |  |       |         
       |  |       +-->  -W  is set the dump format ("normal", "byline", "single", "none")
       |  |
       |  +---------->  -d  is use specified device instead of the pcap default
       |
       +------------->  -q  is be quiet ("don't print packet reception hash marks")
person Shiplu Mokaddim    schedule 28.03.2012
comment
Примечание: для тех, кто использует ngrep 1.45, установленный через brew в OS X 10.9.x / Mavericks, это может вызвать ошибку сегментации: 11. jfarcand нашел здесь обходной путь: gist.github.com/jfarcand/8302675, и у меня это работает: ngrep -q -W byline -d en0 '' 'host some_hostname and port 80'. - person Gary S. Weaver; 13.08.2014
comment
Большой палец для искусства ASCII. - person neevek; 07.08.2015
comment
хост - это не хост в http, а только ip в tcp - person Donghua Liu; 12.03.2019

arrow_upward
19
arrow_downward

Исходя из того, что вы упомянули, ngrep (в Unix) и Fiddler (Windows) могут быть лучшими / более простыми решениями.

Если вы абсолютно хотите использовать tcpdump, попробуйте следующие варианты

tcpdump -A -vvv host destination_hostname

-A (ascii)
-vvv (verbose output)
person souser    schedule 12.02.2012

arrow_upward
0
arrow_downward 

tcpdump -i eth0 -w dump3.pcap -v  'tcp and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'

см. http://www.tcpdump.org/manpages/tcpdump.1.html

person guohongjun    schedule 21.01.2016