如何在Linux上从命令行嗅探HTTP流量

发布网友 发布时间：2022-04-23 10:35

我来回答

共2个回答

热心网友 时间：2022-05-02 22:02

假设你出于某个原因而想嗅探网络上的实时HTTP Web流量（比如HTTP请求和回应）。比如说，你可能在测试网站服务器的试验性功能，或者在调试Web应用程序或充分利用REST的服务，抑或是你想要为PAC（代理自动配置）排查故障，或检查从某个网站偷偷下载的任何恶意软件文件。不管出于什么原因，嗅探HTTP流量大都有帮助，对系统管理员、开发人员、甚至最终用户来说都是如此。

虽然tcpmp等数据包嗅探工具广泛用于实时的数据包转储，你还是需要建立合理的过滤机制，以便只捕获HTTP流量；即使那样，通常无法很容易地在HTTP协议层面解读它们的原始输出。ngxtop等实时网站服务器日志分析工具提供了人类可读的实时网站流量痕迹，但只有在完全访问实时网站服务器日志的情况下才适用。

虽然拥有tcpmp之类的嗅探工具不错，但只针对HTTP流量。实际上，httpry正是我们所需的一款HTTP数据包嗅探工具。httpry可捕获网络上的实时HTTP数据包，并且以一种人类可读的格式，显示HTTP协议层面的内容。我们在本教程中将看看如何使用httpry来嗅探HTTP流量。

将httpry安装到Linux上

在基于Debian的系统上（Ubuntu或Linux Mint），httpry并未出现在基本软件库中。所以要使用其源代码来构建它：

___FCKpd___0nbsp;sudo apt-get install gcc make git libpcap0.8-dev ___FCKpd___0nbsp;git clone https://github.com/jbittel/httpry.git ___FCKpd___0nbsp;cd httpry ___FCKpd___0nbsp;make ___FCKpd___0nbsp;sudo make install

在Fedora、CentOS或RHEL上，你可以使用yum来安装httpry，如下所示。在CentOS/RHEL上，先启用EPEL软件库，再运行yum。

___FCKpd___1nbsp;sudo yum install httpry

如果你仍想在基于RPM的系统上使用源代码来构建httpry，很容易做到这一点，只要：

___FCKpd___2nbsp;sudo yum install gcc make git libpcap-devel ___FCKpd___2nbsp;git clone https://github.com/jbittel/httpry.git ___FCKpd___2nbsp;cd httpry ___FCKpd___2nbsp;make ___FCKpd___2nbsp;sudo make install

httpry的基本用法

httpry的基本使用场合如下：

___FCKpd___3nbsp;sudo httpry -i <network-interface>

httpry随后侦听某个特定的网络接口，并实时显示捕获的HTTP请求/回应。

不过在大多数情况下，由于大量数据包进进出出，你会看到快速滚动的输出结果。所以，你应该保存已捕获的HTTP数据包以便离线分析。为此，使用“-b”或“-o”选项。“-b”选项让你可以将原始的HTTP数据包保存到二进制文件中，然后可以使用httpry回放HTTP数据包。另一方面，“-o”选项将httpry人类可读的输出结果保存到文本文件中。

想把原始的HTTP数据包保存到二进制文件中：

___FCKpd___4nbsp;sudo httpry -i eth0 -b output.mp

回放已保存的HTTP数据包：

___FCKpd___5nbsp;httpry -r output.mp

请注意：当你使用“-r”选项读取转储文件时，就不需要根权限。

想将httpry的输出结果保存到文本文件中：

___FCKpd___6nbsp;sudo httpry -i eth0 -o output.txt

httpry的高级用法

如果你只想监视特定的HTTP方法（比如GET、POST、PUT、HEAD和CONNECT等），可以使用“-m”选项：

___FCKpd___7nbsp;sudo httpry -i eth0 -m get,head

如果你下载了httpry的源代码，就会注意到源代码随带一系列有助于分析httpry输出结果的Perl脚本。这些脚本位于httpry/scripts/plugins目录中。如果你想编写自定义的脚本来分析httpry的输出结果，这些脚本就是可供参考的好例子。其中一些功能如下：

•hostnames：显示独特主机名称和主机数量的列表。

•find_proxies：检测网站代理系统。

•search_terms：查找并计数搜索服务中输入的搜索词语。

•content_analysis：查找含有特定关键词的URL。

•xml_output：将输出结果转换成XML格式。

•log_summary：生成日志摘要。

•db_mp：将日志文件数据转储到MySQL数据库中。

在使用这些脚本之前，先使用“-o”选项运行httpry一段时间。一旦你获得了输出文件，使用下面这个命令，运行一次脚本：

___FCKpd___8nbsp;cd httpry/scripts ___FCKpd___8nbsp;perl parse_log.pl -d ./plugins <httpry-output-file>

你可能会遇到几个插件的警告信息。比如说，如果你没有创建带DBI接口的MySQL数据库，db_mp插件就可能会出错。要是某个插件未能初始化，它会自动被禁用。所以，你可以忽视那些警告信息。

在parse_log.pl完成之后，你会在httpry/scripts目录下看到许多分析结果（*.txt/xml）。比如说，log_summary.txt看起来就像下面这样：

总而言之，如果你碰到需要解读实时HTTP数据包的情况，httpry就帮得上大忙。普通的Linux用户可能不常解读实时HTTP数据包，但防患未然总归不是件坏事。你觉得这款工具如何？谢谢阅读，希望能帮到大家，请继续关注，我们会努力分享更多优秀的文章。

英文：http://xmolo.com/2014/08/sniff-http-traffic-command-line-linux.html

热心网友 时间：2022-05-02 23:20

假设由于某种原因，你需要嗅探HTTP站点的流量（如HTTP请求与响应）。举个例子，你可能在测试一个web服务器的实验性功能，或者你在为某个web应用或RESTful服务排错，又或者你正在为PAC(proxy auto config)排错或寻找某个站点下载的恶意软件。不论什么原因，在这些情况下，进行HTTP流量嗅探对于系统管理、开发者、甚至最终用户来说都是很有帮助的。数据包嗅工具tcpmp被广泛用于实时数据包的导出，但是你需要设置过滤规则来捕获HTTP流量，甚至它的原始输出通常不能方便的停在HTTP协议层。实时web服务器日志解析器如ngxtop可以提供可读的实时web流量跟踪痕迹，但这仅适用于可完全访问live web服务器日志的情况。

要是有一个仅用于抓取HTTP流量的类似tcpmp的数据包嗅探工具就非常好了。事实上，httpry就是:HTTP包嗅探工具。httpry捕获HTTP数据包，并且将HTTP协议层的数据内容以可读形式列举出来。通过这篇指文章，让我们了解如何使用httpry工具嗅探HTTP流量。
在Linux上安装httpry
基于Debian系统（Ubuntu 或 LinuxMint），基础仓库中没有httpry安装包(译者注：本人ubuntu14.04,仓库中已有包，可直接安装)。所以我们需要通过源码安装: