如何在Linux上从命令行嗅探HTTP流量
假设你出于某个原因而想嗅探网络上的实时HTTP Web流量(比如HTTP请求和回应)。比如说,你可能在测试网站服务器的试验性功能,或者在调试Web应用程序或充分利用REST的服务,抑或是你想要 为PAC(代理自动配置)排查故障,或检查从某个网站偷偷下载的任何恶意软件文件。不管出于什么原因,嗅探HTTP流量大都有帮助,对系统管理员、开发人 员、甚至最终用户来说都是如此。
虽然tcpdump等数据包嗅探工具广泛用于实时的数据包转储,你还是需要建立合理的过滤机制,以便只捕获HTTP流量;即使那样,通常无法很容易 地在HTTP协议层面解读它们的原始输出。ngxtop等实时网站服务器日志分析工具提供了人类可读的实时网站流量痕迹,但只有在完全访问实时网站服务器 日志的情况下才适用。
虽然拥有tcpdump之类的嗅探工具不错,但只针对HTTP流量。实际上,httpry正是我们所需的一款HTTP数据包嗅探工具。httpry 可捕获网络上的实时HTTP数据包,并且以一种人类可读的格式,显示HTTP协议层面的内容。我们在本教程中将看看如何使用httpry来嗅探HTTP流 量。
将httpry安装到Linux上
在基于Debian的系统上(Ubuntu或Linux Mint),httpry并未出现在基本软件库中。所以要使用其源代码来构建它:
$ sudo apt-get install gcc make git libpcap0.8-dev
$ git clone https://github.com/jbittel/httpry.git
$ cd httpry
$ make
$ sudo make install
在Fedora、CentOS或RHEL上,你可以使用yum来安装httpry,如下所示。在CentOS/RHEL上,先启用EPEL软件库,再运行yum。
$ sudo yum install httpry
如果你仍想在基于RPM的系统上使用源代码来构建httpry,很容易做到这一点,只要:
$ sudo yum install gcc make git libpcap-devel
$ git clone https://github.com/jbittel/httpry.git
$ cd httpry
$ make
$ sudo make install
httpry的基本用法
httpry的基本使用场合如下:
$ sudo httpry -i
httpry随后侦听某个特定的网络接口,并实时显示捕获的HTTP请求/回应。
不过在大多数情况下,由于大量数据包进进出出,你会看到快速滚动的输出结果。所以,你应该保存已捕获的HTTP数据包以便离线分析。为此,使用 “-b”或“-o”选项。“-b”选项让你可以将原始的HTTP数据包保存到二进制文件中,然后可以使用httpry回放HTTP数据包。另一方 面,“-o”选项将httpry人类可读的输出结果保存到文本文件中。
想把原始的HTTP数据包保存到二进制文件中:
$ sudo httpry -i eth0 -b output.dump
回放已保存的HTTP数据包:
$ httpry -r output.dump
请注意:当你使用“-r”选项读取转储文件时,就不需要根权限。
想将httpry的输出结果保存到文本文件中:
$ sudo httpry -i eth0 -o output.txt
httpry的高级用法
如果你只想监视特定的HTTP方法(比如GET、POST、PUT、HEAD和CONNECT等),可以使用“-m”选项:
$ sudo httpry -i eth0 -m get,head
如果你下载了httpry的源代码,就会注意到源代码随带一系列有助于分析httpry输出结果的Perl脚本。这些脚本位于 httpry/scripts/plugins目录中。如果你想编写自定义的脚本来分析httpry的输出结果,这些脚本就是可供参考的好例子。其中一些 功能如下:
•hostnames:显示独特主机名称和主机数量的列表。
•find_proxies:检测网站代理系统。
•search_terms:查找并计数搜索服务中输入的搜索词语。
•content_analysis:查找含有特定关键词的URL。
•xml_output:将输出结果转换成XML格式。
•log_summary:生成日志摘要。
•db_dump:将日志文件数据转储到MySQL数据库中。
在使用这些脚本之前,先使用“-o”选项运行httpry一段时间。一旦你获得了输出文件,使用下面这个命令,运行一次脚本:
$ cd httpry/scripts
$ perl parse_log.pl -d ./plugins
你可能会遇到几个插件的警告信息。比如说,如果你没有创建带DBI接口的MySQL数据库,db_dump插件就可能会出错。要是某个插件未能初始化,它会自动被禁用。所以,你可以忽视那些警告信息。
在parse_log.pl完成之后,你会在httpry/scripts目录下看到许多分析结果(*.txt/xml)。比如说,log_summary.txt看起来就像下面这样:
总而言之,如果你碰到需要解读实时HTTP数据包的情况,httpry就帮得上大忙。普通的Linux用户可能不常解读实时HTTP数据包,但防患未然总归不是件坏事。你觉得这款工具如何?
来自: 51CTO