Обнаружение HTTP-сессий с использованием tcpdump
У меня есть файл трассировки, и я хочу найти все веб-серверы, которые были успешно посещены в трассировке, с которыми связались через HTTP.
Я использую:
tcpdump -r file.trace - tcp port 80
Возможно, мне нужно найти список IP-адресов серверов, которые отправляют мне ответные пакеты (я имею в виду те, которые создают HTTP-сессии со мной). Просто серверы, а не другие соединения TCP. Я имею в виду, мне нужны серверные IP-адреса, которые отвечают на HTTP-запросы и отправляют HTTP-ответы обратно.
Как я мог это сделать?
1 ответ
tcpdump -r file.trace - tcp dst port 80
как вы обнаружили, это не допустимая команда tcpdump. Если вы удалите лишний - тогда вы получите
tcpdump -r file.trace tcp dst port 80
которая является действительной командой tcpdump, которая покажет вам только трафик на TCP-порт 80. Она не покажет вам трафик с TCP-порта 80, поэтому, например, если file.trace имеет трафик HTTP к порту 80 и от него, он покажет вам трафик HTTP-запроса, но НЕ трафик ответа HTTP.
Если вы хотите видеть трафик к порту 80 и от него, используйте
tcpdump -r file.trace tcp port 80
Однако, если есть трафик TCP, отличный от трафика HTTP к порту 80 или от него, это также будет показано.
Кроме того, трафик HTTP, не идущий к порту 80 или от него, такой как трафик HTTP-over-SSL/TLS ("https") или трафик к портам, таким как порт 8080, не будет показан. Например, чтобы посмотреть трафик к порту 80 (для HTTP) и порту 443 (для HTTPS), выполните
tcpdump -r file.trace tcp port 80 or 443
Так что же "не работает"?
Разве это не показывает, например, HTTPS трафик? Если это так, вам нужно добавить порт 443.
Разве это не показывает трафик на другие порты? Если это так, вам нужно добавить эти порты. Tcpdump не может распознать трафик HTTP (а Wireshark распознает его только по номеру порта).
Он показывает только запросы, а не ответы? Если вы хотите увидеть ответы, используйте tcp port скорее, чем tcp dst port, Если вы хотите видеть только запросы, используйте tcp dst port,