我的应用程序正在向某个服务器发送 HTTP 请求,我想查看它发送的实际数据。我想查看以下一些具体信息:
- 请求方法(GET/POST/PUT 等)
- 内容类型
- 身体
实现这一目标的最佳且简单的方法是什么?
答案1
好吧,对于所有 tcpdump 粉丝来说 =)
以 root 身份运行所有这些命令!
使用以下命令在终端中获取 root 权限
sudo -i
要捕获 RAW 数据包...
sudo tcpdump -i any -w /tmp/http.log &
这将捕获所有端口、所有接口上的所有原始数据包并将其写入文件/tmp/http.log。
运行您的应用程序。如果您没有运行任何其他使用 HTTP(Web 浏览器)的应用程序,这显然会有所帮助。
杀tcpdump
killall tcpdump
要读取日志,请使用-A标志并将输出通过管道传输到less:
tcpdump -A -r /tmp/http.log | less
该-A标志打印出数据包中的“有效负载”或 ASCII 文本。这会将输出发送到less,您可以上下翻页。要退出less,请键入Q。
当我去 Google 时,我看到(在原始数据包中):
20:42:38.179759 IP ufbt.local.56852 > sea09s02-in-f3.1e100.net.www: Flags [P.], seq 1:587, ack 1, win 913, options [nop,nop,TS val 25523484 ecr 492333202], length 586
E..~.v@[email protected]......!#...P.(.gS.c..............u..Xh.GET /generate_204 HTTP/1.1
Host: clients1.google.com
Connection: keep-alive
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/534.34 (KHTML, like Gecko) rekonq Safari/534.34
Referer: http://www.google.com/
Accept: */*
Accept-Encoding: gzip, deflate, x-gzip, x-deflate
Accept-Charset: utf-8,*;q=0.5
Accept-Language: en-US, en-US; q=0.8, en; q=0.6
Cookie: PREF=ID=dd958d4544461998:FF=0:TM=1323842648:LM=1360205486:S=Fg_QCDsLMr4ZepIo; NID=67=OQJWjIDHG-B8r4EuM19F3g-nkaMcbvYwoY_CsOjzvYTOAxwqAos5kfzsk6Q14E70gIfJjHat8d8PuQIloB12BE-JuSHgsKHR2QSpgN12qSWoxeqhdcSQgzw5CHKtbR_a
tcpdump有一系列选项来优化数据收集,从指定网络接口到端口再到源和目标 IP 地址。它无法解密(因此它不适用于 HTTPS)。
一旦知道了自己感兴趣的内容,就可以使用多种选项来tcpdump仅记录感兴趣的数据。一般策略是先记录所有数据包,查看原始数据,然后仅捕获感兴趣的数据包。
一些有用的标志(选项):
-i Specify an interface
-i eth0
tcp port xx
tcp port 80
dst 1.2.3.4
specify a destination ip address
tcpdump在使用和学习如何分析收集的数据方面,都有一个学习曲线。为了进一步阅读,我强烈建议Daniel Miessler 的tcpdump入门书及示例。
答案2
首先tcpflow从 Ubuntu 官方存储库安装:
sudo apt-get install tcpflow
然后运行此命令来检查标准端口上的所有 HTTP 请求:
sudo tcpflow -p -c port 80
答案3
我建议你尝试Wireshark
请注意,Wireshark 相当先进,因此可能需要一点时间来适应。我已经有几年没用它了,但它仍然非常适合你的需求 - 如果不是功能太丰富的话。
有关 Wireshark 及其使用方法的信息,请访问Wireshark 主页。
答案4
也可以使用命令,即使对于 SSL 也可以提供整洁的输出:
sudo tcpdump dst port 80