使用 netcat 将流量记录到文件

Question 1

您显示的“日志”是 HTTP 请求和响应。我不会使用，nc因为这似乎只会增加更多复杂性。

我建议使用tcpdump。这基本上可以捕获与 wireshark 相同的数据，您甚至可以使用 Wireshark 解析转储。如果我尝试收集 HTTP 请求和响应，我喜欢使用该-A选项。

这似乎对我有用，可以显示这些标题：

tcpdump -A -s 8000 '(port 80 or port 443) and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)' | awk --re-interval 'match($0,/^.{8}((GET |HTTP\/|POST |HEAD ).*)/,a){print "\n"a[1];h=2}$0~/^.{0,1}$/&&h{h--}h&&/^[A-Za-z0-9-]+: /{print}' >> your_log_file

上述命令应以 root 身份运行。如果您以其他用户身份运行它，或者如果您只想使用单个接口进行捕获，请务必添加到-i <your_device>。tcpdump例如：

tcpdump -i eth0 -A -s 8000 '(port 80 or port 443) and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)' | awk --re-interval 'match($0,/^.{8}((GET |HTTP\/|POST |HEAD ).*)/,a){print "\n"a[1];h=2}$0~/^.{0,1}$/&&h{h--}h&&/^[A-Za-z0-9-]+: /{print}' >> your_log_file

Answer

您显示的“日志”是 HTTP 请求和响应。我不会使用，nc因为这似乎只会增加更多复杂性。

我建议使用tcpdump。这基本上可以捕获与 wireshark 相同的数据，您甚至可以使用 Wireshark 解析转储。如果我尝试收集 HTTP 请求和响应，我喜欢使用该-A选项。

这似乎对我有用，可以显示这些标题：

tcpdump -A -s 8000 '(port 80 or port 443) and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)' | awk --re-interval 'match($0,/^.{8}((GET |HTTP\/|POST |HEAD ).*)/,a){print "\n"a[1];h=2}$0~/^.{0,1}$/&&h{h--}h&&/^[A-Za-z0-9-]+: /{print}' >> your_log_file

上述命令应以 root 身份运行。如果您以其他用户身份运行它，或者如果您只想使用单个接口进行捕获，请务必添加到-i <your_device>。tcpdump例如：

tcpdump -i eth0 -A -s 8000 '(port 80 or port 443) and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)' | awk --re-interval 'match($0,/^.{8}((GET |HTTP\/|POST |HEAD ).*)/,a){print "\n"a[1];h=2}$0~/^.{0,1}$/&&h{h--}h&&/^[A-Za-z0-9-]+: /{print}' >> your_log_file

Question 2

ngrep 提供了您正在寻找的字段，但您需要一个脚本来确保输出的顺序正确（假设会有重叠的请求/响应）。

http://ngrep.sourceforge.net/usage.html

例子：

[user@host~]$ngrep -W byline -q 'HTTP'

T 172.999.999.999:65535 -> 198.41.209.136:80 [AP]
GET / HTTP/1.1.
User-Agent: Wget/1.17.1 (linux-gnu).
Accept: */*.
Accept-Encoding: identity.
Host: reddit.com.
Connection: Keep-Alive.
.


T 198.41.209.136:80 -> 172.999.999.999:65535 [AP]
HTTP/1.1 301 Moved Permanently.
Date: Sat, 13 Aug 2016 13:55:26 GMT.
Transfer-Encoding: chunked.
Connection: keep-alive.
Set-Cookie: __cfduid=9999999999999999999999999999999999999999; expires=Sun, 13-Aug-17 13:55:26 GMT; path=/; domain=.reddit.com; HttpOnly.
Location: https://www.reddit.com/.
X-Content-Type-Options: nosniff.
Server: cloudflare-nginx.

Answer

ngrep 提供了您正在寻找的字段，但您需要一个脚本来确保输出的顺序正确（假设会有重叠的请求/响应）。

http://ngrep.sourceforge.net/usage.html

例子：

[user@host~]$ngrep -W byline -q 'HTTP'

T 172.999.999.999:65535 -> 198.41.209.136:80 [AP]
GET / HTTP/1.1.
User-Agent: Wget/1.17.1 (linux-gnu).
Accept: */*.
Accept-Encoding: identity.
Host: reddit.com.
Connection: Keep-Alive.
.


T 198.41.209.136:80 -> 172.999.999.999:65535 [AP]
HTTP/1.1 301 Moved Permanently.
Date: Sat, 13 Aug 2016 13:55:26 GMT.
Transfer-Encoding: chunked.
Connection: keep-alive.
Set-Cookie: __cfduid=9999999999999999999999999999999999999999; expires=Sun, 13-Aug-17 13:55:26 GMT; path=/; domain=.reddit.com; HttpOnly.
Location: https://www.reddit.com/.
X-Content-Type-Options: nosniff.
Server: cloudflare-nginx.

使用 netcat 将流量记录到文件

答案1

答案2

相关内容