Tcpdump ব্যবহার করে HTTP ট্রাফিক নিরীক্ষণ

একটি সার্ভার এবং একটি ওয়েব সার্ভারের মধ্যে এইচটিটিপি ট্র্যাফিক নিরীক্ষণের জন্য, আমি বর্তমানে ব্যবহার করছি tcpdump। এটি দুর্দান্ত কাজ করে তবে আমি আউটপুটে কিছু অতিরিক্ত অতিরিক্ত তথ্য থেকে মুক্তি পেতে চাই (এ সম্পর্কে আমি জানি tcpflowএবং wiresharkতবে তারা আমার পরিবেশে সহজেই উপলভ্য নয়)।

থেকে tcpdumpমানুষ পৃষ্ঠা:

80 বন্দর থেকে এবং সমস্ত আইপিভি 4 এইচটিটিপি প্যাকেট মুদ্রণ করতে, অর্থাত্ কেবল প্যাকেটগুলি মুদ্রণ করুন, উদাহরণস্বরূপ, এসওয়াইএন এবং এফআইএন প্যাকেট এবং এসি-কেবল প্যাকেটগুলি।

tcpdump 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'

এই আদেশ

sudo tcpdump -A 'src উদাহরণ.com এবং টিসিপি পোর্ট 80 এবং ((আইপি [2: 2] - ((আইপি [0] এবং 0 এক্সএফ) << 2))) - ((টিসিপি [12] এবং 0xf0) >> 2) )! = 0) '

নিম্নলিখিত আউটপুট সরবরাহ করে:

19: 44: 03.529413 IP 192.0.32.10.http> 10.0.1.6.52369: পতাকাগুলি [পি।], সিক 918827135: 918827862, ack 351213824, জয় 4316, বিকল্পগুলি [না, না, টিএস ভল 4093273405 সিআর 869959372], দৈর্ঘ্য 727

ই ..... @ ....... .... পি..6.০ ......... ডি ...... __ .. ই = 3 ...__ এইচটিটিপি / 1.1 200 ওকে সার্ভার: অ্যাপাচি / 2.2.3 (রেড হ্যাট) সামগ্রী-প্রকার: পাঠ্য / এইচটিএমএল; চরসেট = ইউটিএফ -8 তারিখ: শনি, 14 নভেম্বর 2009 18:35:22 জিএমটি বয়স: 7149
সামগ্রী-দৈর্ঘ্য: 438

<HTML> <HEAD> <TITLE> ওয়েব পৃষ্ঠার উদাহরণ </ টাইটেল> </HEAD> <body>
<p> আপনি এই ওয়েব পৃষ্ঠায় পৌঁছেছেন ... </ p> </BODY> </HTML>

হাইলাইট করা অংশ ব্যতীত এটি প্রায় নিখুঁত। এটি কী, শেষ - আরও গুরুত্বপূর্ণ - আমি কীভাবে এ থেকে মুক্তি পাব? কমান্ডের শেষে ভাব প্রকাশের জন্য এটি কেবল সামান্য কিছুটা টুইট?

tcpdump সম্পূর্ণ প্যাকেট মুদ্রণ করে। আপনি দেখেন "আবর্জনা" আসলে টিসিপি প্যাকেজ শিরোনাম।

আপনি অবশ্যই পার্ল স্ক্রিপ্ট দিয়ে আউটপুটটি ম্যাসেজ করতে পারেন, তবে তার পরিবর্তে ওয়্যারশার্কের পাঠ্য সংস্করণ tshark ব্যবহার করবেন না কেন?

tshark 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'

এটি tcpdump (একই গ্রন্থাগার) হিসাবে একই আর্গুমেন্ট লাগে তবে এটির বিশ্লেষক যেহেতু এটি গভীর প্যাকেট পরিদর্শন করতে পারে যাতে আপনি আরও বেশি ফিল্টারগুলি পরিমার্জন করতে পারেন, অর্থাৎ

tshark 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)' -R'http.request.method == "GET" || http.request.method == "HEAD"'

কটাক্ষপাত করা ngrep - এটা আপনার জন্য কিছু ব্যবহার হতে mighe।

অন্যের জন্য রেফারেন্স হিসাবে httpry [সার্ভারটি এখন ডাউন আছে বলে মনে হচ্ছে তবে আমি আশা করি এটি অস্থায়ী]] এবং tshark প্যাসিভ প্রোটোকল বিশ্লেষণের জন্যও দরকারী - প্রথমটি কেবলমাত্র http, দ্বিতীয় - আরও অনেক কিছুর জন্য।

ব্যবহার করে দেখুন httpry বা justniffer

জাস্টনিফার টিসিপি প্যাকেটগুলিকে পুনঃনির্মাণ এবং আইপি বিভাজনকে ভালভাবে কাজ করে on

আমি ডাম্বড ডাউন টিসিপিডাম্প কমান্ড লাইনটি ব্যবহার করার পরামর্শ দেব যা পোস্ট প্রক্রিয়াটির জন্য পিসিএপ ফাইলের মধ্যে সমস্ত কিছু সংরক্ষণ করে। আপনি কী নির্ণয় করছেন ঠিক তার উপর নির্ভর করে টিসিপি ফ্লাওয়ার যোগাযোগগুলি বিশ্লেষণের জন্য সুসংগত উপায়ে আবার একত্রিত করার জন্য দুর্দান্ত কাজ করে।

: Httpry জন্য কিছু ব্যবহারগুলির সহ অন্যান্য বেশ কয়েকটি ভাল তথ্য পাওয়া যাবে http://taosecurity.blogspot.com/2008/06/logging-web-traffic-with-httpry.html

আপনি যে ওয়েবসারভারটি ব্যবহার করছেন তা কি লগ তৈরি করে না? অবশ্যই এটি এইচটিটিপি ট্রাফিক নিরীক্ষণের আরও ভাল উপায় হতে পারে, ডেটা বিশ্লেষণ করার জন্য সরঞ্জামগুলির প্রচুর পরিমাণ রয়েছে এবং যে কোনও সক্ষম ওয়েবসার্ভার নির্ভরযোগ্য লগগুলি তৈরি করতে পারে।

HTTP ট্র্যাফিক পর্যবেক্ষণের জন্য বিশেষভাবে ডিজাইন করা বেশ কয়েকটি সরঞ্জাম বাজারে উপলভ্য। Fiddler2 ( http://www.fiddler2.org ) এবং HTTP ডিবাগার প্রো এই জাতীয় সরঞ্জামগুলির উদাহরণ।