Вопрос: Человеко-читаемый формат для заголовков http с tcpdump


Я хотел бы просмотреть HTTP-заголовки, отправленные из Apache (прослушивая порт 80) в Tomcat (на порту 4080) на машине Linux.

В соответствии с Википедия,

Поля заголовка представляют собой пары имени и двоеточия, разделенные двоеточиями, в текстовом формате строки.

Я пробовал некоторые варианты следующих tcpdump команда:

$ sudo tcpdump -lnX dst port 4080 -c 10

11:29:28.605894 IP SOME_IP.33273 > SOME_IP.4080: P 0:49(49) ack 1 win 23 <nop,nop,timestamp 1191760962 509391143>
    0x0000:  4500 0065 3a9f 4000 3f06 0084 628a 9ec4  E..e:.@.?...b...
    0x0010:  628a 9c97 81f9 0ff0 9e87 eee0 144b 90e1  b............K..
    0x0020:  8018 0017 fb43 0000 0101 080a 4708 d442  .....C......G..B
    0x0030:  1e5c b127 4845 4144 202f 6461 7070 6572  .\.'HEAD./dapper
    0x0040:  5f73 6572 7669 6e67 2f41 644d 6f6e 6b65  _serving/AdMonke
    0x0050:  793f                                     y?

Результат всегда был один и тот же - странное сочетание тарабарщины и английских слов (например, HEAD).

Как просмотреть заголовки в удобном для чтения формате?


53
2018-05-02 11:41


Источник


Tcpdump показывает весь пакет. Сюда входят заголовки IP и TCP. AFAIK, вы не можете отобразить только полезную нагрузку TCP. - Zoredache


Ответы:


Вот один лайнер, который я придумал для отображения HTTP-заголовков запросов и ответов с использованием tcpdump (который также должен работать для вашего дела):

sudo tcpdump -A -s 10240 'tcp port 4080 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)' | egrep --line-buffered "^........(GET |HTTP\/|POST |HEAD )|^[A-Za-z0-9-]+: " | sed -r 's/^........(GET |HTTP\/|POST |HEAD )/\n\1/g'

Он ограничивает сокращение пакета на 10Kb и знает только команды GET, POST и HEAD, но в большинстве случаев этого должно быть достаточно.

РЕДАКТИРОВАТЬ: изменил его, чтобы избавиться от буферов на каждом шагу, чтобы сделать его более отзывчивым. Теперь нужны Perl и stdbuf, поэтому используйте оригинальную версию, если у вас ее нет: РЕДАКТИРОВАТЬ: Изменены цели порта скриптов от 80 до 4080, чтобы фактически прослушивать трафик, который прошел через apache, вместо прямого внешнего трафика, поступающего на порт 80:

sudo stdbuf -oL -eL /usr/sbin/tcpdump -A -s 10240 "tcp port 4080 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)" | egrep -a --line-buffered ".+(GET |HTTP\/|POST )|^[A-Za-z0-9-]+: " | perl -nle 'BEGIN{$|=1} { s/.*?(GET |HTTP\/[0-9.]* |POST )/\n$1/g; print }'

Некоторые объяснения:

  • sudo stdbuf -oL -eL  делает tcpdump run line-buffered
  • здесь подробно описан магический фильтр tcpdump: https://stackoverflow.com/questions/11757477/understanding-tcpdump-filter-bit-masking
  • grep ищет любые строки с GET, HTTP / или POST; или любые строки, которые выглядят как заголовок (буквы и цифры, за которыми следует двоеточие)
  • BEGIN {$ | = 1} приводит к тому, что perl запускает строку с буферизацией
  • s /.*? (GET | HTTP / [0-9.] * | POST) / \ n $ 1 / g добавляет новую строку перед началом каждого нового запроса или ответа

75
2017-10-03 22:37



Прекрасно работает. Не могли бы вы добавить более подробную информацию о том, как работает выражение tcpdump? - Vivek Thomas
здесь описывается «ip» часть в parens, например: stackoverflow.com/questions/11757477/... - Kibber
Ты просто так сильно избавил меня от головной боли. Позор я могу только +1. - Aaron Dobbing


Вы можете получить что-то близкое к тому, что вы хотите, используя -A, например.

E....c@.@...
.....Ng.d.P..Ch.).....s.......
.A...u.BHEAD / HTTP/1.1
User-Agent: curl/7.29.0
Host: www.google.com
Accept: */*

Не забудьте использовать -s 0 чтобы убедиться, что вы получите весь пакет.

В качестве альтернативы вы можете использовать wireshark для просмотра заголовков в интерактивном режиме.


15
2018-05-02 11:48



Пытался -A а также -s 0, получил тот же результат. - Adam Matan
Попробуйте без -X, - Flup
tcpdump -s 0 -A dst port 4080 дает E..e..@.?.$bb...b....:......w........Q.....G..1.b..HEAD /dapper_serving/AdMonkey?ping=1 HTTP/1.0, - Adam Matan
... что-то близкое к тому, что вы хотите. Чтение с «HEAD» - это полезная нагрузка HTTP. Если вы определенно использовали -s 0 и нет ничего после HTTP/1.0, в запросе нет заголовков HTTP. - Flup
Благодарю. Есть ли способ распечатать только текстовые заголовки, без бинарной полезной нагрузки? - Adam Matan


Попробуй использовать http://justniffer.sourceforge.net/  Это лучший инструмент или Wireshark с опцией «Follow TCP Flow», есть только много лучших опций, чем tcpdump, чтобы видеть заголовки (запросы / ответы)


-1
2018-05-02 11:51



Возможно, добавьте пример, как это сделать - vikas027
Может быть, вы можете прочитать справочную страницу? justniffer.sourceforge.net/#!/man_page - Danila Ladner