LINUX.ORG.RU
ФорумAdmin

post/get sniffer


0

1

нужен снифер, чтобы удобный и лёгкий(т.к. всё что требуется - мониторить get/post запросы).


Пользуюсь google chrome и отдельным кодом, в котором могу также задавать user-agent при запросе. Т.е. хорошо бы иметь возможность ставить фильтры на user-agent(от которого идут запросы(и к которому идут ответы соответственно)). И на ресурс

Ответ на: комментарий от spunky

поставить на прослушку портов, по которым браузер отсылает и принимает? я не разбираюсь, можно подробнее

pseudo-cat ★★★
() автор топика
Ответ на: комментарий от pseudo-cat

1. копировать входящий на 80-й порт web-сервера трафик на другой порт
2. другой порт прослушивать netcat-ом
3. вывод с netcat-а умно грепить
4. ???
5. PROFIT!!!

однако, как реализовать первый пункт средствами ОС я не знаю, но, почти уверен, что это таки возможно.

spunky ★★
()
Ответ на: комментарий от spunky

как узнать через какой порт я отправляю пакеты на сервер? и на какой он отвечает? После того как я узнаю эти порты - зачем копировать? нельзя чтобы netcat слушал эти порты параллельно другим службам?

pseudo-cat ★★★
() автор топика
Ответ на: комментарий от pseudo-cat

как узнать через какой порт я отправляю пакеты на сервер?

Если вопрос понимать как - какой порт будет выбран в качестве souce-порта для отправляемых данных, то тут на самом деле есть варианты, согласен. Если web-сервер не твой, то можно дублировать просто траффик от приложения, либо использовать какое нибудь расширение iptables, позволяющее работать с протоколами 7го уровня, либо грепать весь трафик без исключений.

и на какой он отвечает?

на source-порт :) Т.е. вопросов не два, а 1 :)

нельзя чтобы netcat слушал эти порты параллельно другим службам?

вообще просматривать трафик, приходящий другим приложениям - можно. Может ли это делать netcat - не знаю. И вообще как-то я не уверен, что можно подобную фишку с tcp проделать. А может тебе просто tcpdump подойдёт? Простое, классическое, чуть ли не именно для этого предназначенное приложение?

spunky ★★
()
Ответ на: комментарий от spunky

а как выхлоп tcpdump можно привести к понятному человеку виду? Сейчас имею что-то типа

00:31:56.531881 IP 10.14.21.22.37643 > 89.222.192.2.http: Flags [S], seq 3219370212, win 5840, options [mss 1460,sackOK,TS val 4343559 ecr 0,nop,wscale 6], length 0
	0x0000:  4500 003c f7ee 4000 4006 04cc 0a0d 1a14  E..<..@.@.......
	0x0010:  59de c001 730b 0050 bfe3 b0e9 0000 0000  Y......P........
	0x0020:  a002 16d0 a8bd 0000 0201 05b4 0402 080a  ................
	0x0030:  0042 4707 0000 0000 0102 0306            .BG.........
мне нужно смотреть на содержание POST и GET запросов в основном

pseudo-cat ★★★
() автор топика
Ответ на: комментарий от pseudo-cat
tcpdump -vvv -t -A -n -i eth0 tcp port 80 and host 10.168.96.5

IP (tos 0x0, ttl 64, id 26610, offset 0, flags [DF], proto TCP (6), length 656) 10.168.99.3.55923 > 10.168.96.5.80: P 444:1048(604) ack 1271 win 66 <nop,nop,timestamp 154421524 1149331589>
E...g.@.@...
.c.
.`..s.P@J$..;.e...B.......
	4I.D.h.POST /login.php HTTP/1.1
Host

man tcpdump:

-A Print each packet (minus its link level header) in ASCII. Handy for capturing web pages

только вот он почему-то у меня выводит только часть пакета, то же самое и при использовании ключа -w - сохранение пакетов в файл.

spunky ★★
()
Ответ на: комментарий от spunky

я про то, что инфа какая-то непонятная человекам, например -

...U        ...)..W.[3..@KH.....Ck.Y.>:..H.z....!C4.2...K....y.8.8...._3.5,.Q....&v.K.=5,80=t8<}{Nc3>.q..@. ..8..K....a'....$..'S.!~. s.    $m.A.3......l..|....},.....:Q>q.]......%.^...f..4....X4S..OGnH....@..n ..n5T.9KDh..G.i.a.(A............yC........z .h...5.9;4?..x.....!..KspL...=..5..o..\..M_.?.,.p2..Fn......N.v..
.......3.r.!X.....'V.d<......io,.z..lri>....\7s..D.E"a..x...........X'....q.h.  a@...%OL.'.KB.N.)..[I.&...gW...u...JFcX......+....!7...M....sJ....Of.....du
....0...v.C.T.i...'V.[..r<z..y.B..&..HS..?.zE^.....^.+\.d.q....p.lVKOa{..].....&....?2.Se..+gq<......c..f.S`v.(..k.g.7.....I..hEX.._.....7...~.(.A.ZW...&.-.....i>..N'....i...3m..."...J.*.....$u|{.U.o...
....bb....y$.n..}u..~.*..m.6.rR.8.a....<...|&.....)..q..C.-zv....
чем это парсить? wireshark даёт читаемый контент

pseudo-cat ★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.