Chà, cho tất cả những người hâm mộ tcpdump =)
CHẠY TẤT CẢ NHỮNG QUY TẮC NÀY NHƯ ROOT !!!
Có được root trong một thiết bị đầu cuối với
sudo -i
Để chụp các gói RAW ...
sudo tcpdump -i any -w /tmp/http.log &
Điều này sẽ nắm bắt tất cả các gói thô, trên tất cả các cổng, trên tất cả các giao diện và ghi chúng vào một tệp , /tmp/http.log
.
Chạy ứng dụng của bạn. Nó rõ ràng sẽ giúp nếu bạn không chạy bất kỳ ứng dụng nào khác sử dụng HTTP (trình duyệt web).
Giết chết tcpdump
killall tcpdump
Để đọc nhật ký, sử dụng -A
cờ và dẫn đầu ra tới less
:
tcpdump -A -r /tmp/http.log | less
Các -A
lá cờ in ra "tải trọng" hoặc văn bản ASCII trong các gói. Điều này sẽ gửi đầu ra less
, bạn có thể trang lên và xuống. Để thoát less
, gõ Q.
Khi tôi truy cập Google, tôi thấy (trong các gói thô):
20:42:38.179759 IP ufbt.local.56852 > sea09s02-in-f3.1e100.net.www: Flags [P.], seq 1:587, ack 1, win 913, options [nop,nop,TS val 25523484 ecr 492333202], length 586
E..~.v@.@..q......!#...P.(.gS.c..............u..Xh.GET /generate_204 HTTP/1.1
Host: clients1.google.com
Connection: keep-alive
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/534.34 (KHTML, like Gecko) rekonq Safari/534.34
Referer: http://www.google.com/
Accept: */*
Accept-Encoding: gzip, deflate, x-gzip, x-deflate
Accept-Charset: utf-8,*;q=0.5
Accept-Language: en-US, en-US; q=0.8, en; q=0.6
Cookie: PREF=ID=dd958d4544461998:FF=0:TM=1323842648:LM=1360205486:S=Fg_QCDsLMr4ZepIo; NID=67=OQJWjIDHG-B8r4EuM19F3g-nkaMcbvYwoY_CsOjzvYTOAxwqAos5kfzsk6Q14E70gIfJjHat8d8PuQIloB12BE-JuSHgsKHR2QSpgN12qSWoxeqhdcSQgzw5CHKtbR_a
tcpdump
có một bộ tùy chọn dài để tinh chỉnh việc thu thập dữ liệu từ việc chỉ định giao diện mạng đến các cổng đến địa chỉ IP nguồn và đích. Nó KHÔNG thể giải mã (vì vậy nó sẽ không hoạt động với HTTPS).
Khi bạn biết những gì bạn quan tâm, bạn có thể sử dụng một số tùy chọn tcpdump
để chỉ ghi lại dữ liệu quan tâm. Chiến lược chung là trước tiên ghi lại tất cả các gói, xem lại dữ liệu thô và sau đó chỉ thu thập các gói quan tâm.
Một số cờ hữu ích (tùy chọn):
-i Specify an interface
-i eth0
tcp port xx
tcp port 80
dst 1.2.3.4
specify a destination ip address
Có một đường cong học tập, cả việc sử dụng tcpdump
và học cách phân tích dữ liệu bạn thu thập. Để đọc thêm, tôi đánh giá cao Primer của Daniel Miessler tcpdump
với các ví dụ .