Untuk memantau lalu lintas HTTP antara server dan server web, saya saat ini menggunakan tcpdump
. Ini berfungsi dengan baik, tapi saya ingin menyingkirkan beberapa data yang berlebihan dalam output (saya tahu tentang tcpflow
dan wireshark
, tetapi mereka tidak tersedia di lingkungan saya).
Dari tcpdump
halaman manual:
Untuk mencetak semua paket HTTP IPv4 ke dan dari port 80, yaitu hanya mencetak paket yang berisi data, tidak, misalnya, paket SYN dan FIN dan paket ACK saja.
tcpdump 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'
Perintah ini
sudo tcpdump -A 'src example.com dan tcp port 80 dan (((ip [2: 2] - ((ip [0] & 0xf) << 2)) - ((tcp [12] & 0xf0) >> 2) )! = 0) '
menyediakan output berikut:
19: 44: 03.529413 IP 192.0.32.10.http> 10.0.1.6.52369: Bendera [P.], seq 918827135: 918827862, ack 351213824, win 4316, opsi [nop, nop, TS val 4093273405 ecr 869959372], panjang 727
E ..... @ ....... .... P..6.0 ......... D ...... __ .. e = 3 ...__ HTTP / 1.1 200 OK Server: Apache / 2.2.3 (Red Hat) Tipe-Konten: teks / html; charset = UTF-8 Tanggal: Sab, 14 Nov 2009 18:35:22 GMT Umur: 7149
Panjang Konten: 438<HTML> <HEAD> <TITLE> Contoh Halaman Web </TITLE> </HEAD> <body>
<p> Anda telah mencapai halaman web ini ... </p> </BODY> </HTML>
Ini hampir sempurna, kecuali untuk bagian yang disorot. Apa ini, akhirnya - yang lebih penting - bagaimana saya menyingkirkannya? Mungkin itu hanya sedikit perubahan pada ekspresi di akhir perintah?
tcp port 80 and tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420
. Saya menambahkan sebuah halaman ke situs web Wireshark beberapa waktu lalu yang membantu Anda membuat filter penangkap string yang cocok: wireshark.org/tools/string-cf.htmlLihatlah ngrep - mungkin ada gunanya bagi Anda.
sebagai referensi untuk orang lain httpry [server tampaknya turun sekarang tapi saya harap ini sementara] dan tshark juga berguna untuk analisis protokol pasif - pertama hanya untuk http, kedua - untuk lebih banyak lagi.
sumber
Coba httpry atau justniffer
Justniffer bekerja dengan baik pada paket tcp yang menyusun ulang retrasmisi dan fragmentasi ip
sumber
Saya akan menyarankan menggunakan tcpdump command line dumbed yang menyimpan semuanya dalam file pcap untuk proses posting. Bergantung pada apa yang sebenarnya Anda cari dalam mendiagnosis tcpflow, sangat bagus untuk menyatukan kembali komunikasi dalam cara yang koheren untuk analisis.
Beberapa informasi bagus lainnya termasuk beberapa penggunaan untuk httpry dapat ditemukan di: http://taosecurity.blogspot.com/2008/06/logging-web-traffic-with-httpry.html
sumber
Apakah server web yang Anda gunakan tidak menghasilkan log? Tentunya itu akan menjadi cara yang jauh lebih baik untuk memantau lalu lintas HTTP, ada banyak alat untuk menganalisis data dan server web mana pun yang kompeten harus menghasilkan log yang andal.
sumber
Ada beberapa alat yang tersedia di pasaran yang dirancang khusus untuk memantau HTTP Traffic. Fiddler2 ( http://www.fiddler2.org ) dan HTTP Debugger Pro adalah contoh dari alat tersebut.
sumber