Używam tshark do wąchania moich pakietów i martwię się tylko nagłówkiem http (najlepiej w formie, w jakiej został wysłany, ale wezmę to, co mogę dostać).
Próbowałem użyć:
tshark tcp port 80 or tcp port 443 -V -R "http"
Co dało mi nagłówek, ale także treść (której nie chcę, ponieważ jest to duża ilość śmieci do przeanalizowania). Naprawdę dbam tylko o nagłówek, czy jest jakiś prosty sposób na uzyskanie tego (oprócz samodzielnego parsowania danych).
Edycja: powinienem się zakwalifikować, dbam również o host / port, aby móc śledzić żądania w wielu pakietach.
źródło
tshark -V -Y http.request tcp port 80 or tcp port 443
W rzeczywistości możesz! Wszystkie poprzednie odpowiedzi były bardzo zbliżone. Wszystko czego potrzebujesz to
-O
flaga, która odfiltrowuje wszystkie informacje oprócz HTTP.źródło
Byłem w stanie połączyć odpowiedź z @heavyd i przepuścić ją przez filtr sed otrzymany z artykułu SO - (odpowiedź FJ), aby ugotować to dziecko, które odfiltrowuje tylko nagłówki :)
źródło
Moja własna wersja filtru do łatwego czytania:
W ten sposób widzę tylko istotne informacje IP i TCP, bez wszystkich rzeczy niskiego poziomu, a także pełne informacje HTTP.
źródło