Как захватить все HTTP-пакеты с помощью tcpdump
Я хочу запустить tcpdump с некоторыми параметрами (все еще не знаю, что использовать). Затем загрузите эту страницу stackoverflow.com.
Вывод должен быть сообщением HTTP. Позже я хочу использовать его как оболочку script. Поэтому всякий раз, когда я хочу проверить HTTP-коммуникацию сайта site.com, я просто могу запустить script.sh site.com
HTTP-сообщение должно быть достаточно простым. Как и после.
GET /info/9241391/how-to-capture-all-the-http-communication-data-using-tcp-dump
Host: stackoverflow.com
...
...
HTTP/1.1 200 OK
Cache-Control: public, max-age=60
Content-Length: 35061
Content-Type: text/html; charset=utf-8
Expires: Sat, 11 Feb 2012 15:36:46 GMT
Last-Modified: Sat, 11 Feb 2012 15:35:46 GMT
Vary: *
Date: Sat, 11 Feb 2012 15:35:45 GMT
....
decoded deflated data
....
Теперь, не могли бы вы рассказать мне, какие параметры использовать с tcpdump для его захвата.
Ответы
Ответ 1
Это можно сделать с помощью ngrep
ngrep -q -d eth1 -W byline host stackoverflow.com and port 80
^ ^ ^ ^
| | | |
| | | |
| | | v
| | | filter expression
| | |
| | +--> -W is set the dump format ("normal", "byline", "single", "none")
| |
| +----------> -d is use specified device instead of the pcap default
|
+-------------> -q is be quiet ("don't print packet reception hash marks")
Ответ 2
Основываясь на том, что вы упомянули, ngrep (в Unix) и Fiddler (Windows) могут быть лучшими/более легкими решениями.
Если вы абсолютно хотите использовать tcpdump, попробуйте выполнить следующие параметры
tcpdump -A -vvv host destination_hostname
-A (ascii)
-vvv (verbose output)
Ответ 3
tcpdump -i eth0 -w dump3.pcap -v 'tcp и (((ip [2: 2] - ((ip [0] & 0ff) < 2)) - ((tcp [12 ] & 0xf0) → 2))!= 0) '
см. http://www.tcpdump.org/manpages/tcpdump.1.html
