拥有一个 SSH 服务器,多个用户可以通过该服务器传输所有流量,我如何记录(写入)所有流量(主要对未加密的 HTTP 流量感兴趣)?
UPD:并非所有流量都应记录,只有来自 SSH 隧道的流量才应记录(该服务器也用于其他用途)。
答案1
您可以使用 tshark 轻松完成此操作,只需安装 tshark 并运行以下命令:
tshark -i eth0 -f "http" -w httpcapture.cap
它将 eth0 上捕获的所有 http 流量写入 httpcapture.cap 文件,您稍后可以轻松分析该文件。
答案2
使用程序 TCPDump,它可以捕获通过网络连接的网络流量并将其记录到文件中:http://danielmiessler.com/study/tcpdump/
或者通过代理传递 HTTP 流量,例如 Squid。