Ich möchte detaillierte Informationen zum Netzwerkverkehr meines PCs erhalten, d. h. die URLs der Uploads und Downloads. Alle Netzwerkverkehrsmonitore, die ich ausprobiert habe, zeigen die empfangenen und gesendeten Bytes und MBs an, und nur wenige zeigen die Domäne an, von der heruntergeladen wird. Aber nichts zeigt den tatsächlichen Pfad an, von dem ich herunterlade. Beispielsweise sind einige Links im Flash-Speicher versteckt und werden im Hintergrund geladen und dann angezeigt. Woher weiß ich, welcher Link gemeint ist?
Oder einige Flash-Dateien, die ich als PDF drucken könnte. Die gesamte Datei wird im Browser geladen und dann kann ich sie als PDF drucken. Ich möchte den tatsächlichen Link erhalten, der auf meinen PC heruntergeladen wurde. Da ich anhand des Links oder der Quellansicht die SWF-Datei sehen kann, nicht den tatsächlichen Dateipfad oder die URL, die geladen wird.
Ich verwende derzeit Ubuntu 12.04 (und kann auch Windows 7 verwenden, wenn diese Option für Ubuntu nicht verfügbar ist).
Antwort1
Sie benötigenWireshark
Wenn Sie Wireshark verwenden, müssen Sie nach HTTP-GET- und POST-Operationen filtern … vorausgesetzt, Sie erzeugen tshark(Text Wireshark) aus der CLI:
Ein sehr dummes Beispiel. Ich filtere lediglich nach TCP-Verkehr und suche nach einer GET„oder“ POST-Operation. Wenn Sie weniger erfassen möchten (und somit weniger Ressourcen verwenden), verbessern Sie den Filter, sodass er weniger als TCP erfasst.
[mpenning@Hotcoffee Models]$ sudo tshark -i eth0 tcp | grep -E "GET|POST"
Running as user "root" and group "root". This could be dangerous.
Capturing on eth0
32.282144 172.25.116.10 -> 172.25.0.14 HTTP GET http://cisco.com/ HTTP/1.0
32.411775 172.25.116.10 -> 172.25.0.14 HTTP GET http://www.cisco.com/ HTTP/1.0
44.056340 172.25.116.10 -> 172.25.116.12 HTTP GET /render/?width=586&height=308&_salt=1336597549.993&target=pctcore_pctlab_local.snmp.if_octets.vlan.rx&target=pctcore_pctlab_local.snmp.if_octets.vlan.tx&from=-12hours HTTP/1.1
Die Ethernet-Adresse meines Computers lautet 172.25.116.10. Beachten Sie, dass cisco.comdies nicht 172.25.0.14 ist. Dies ist die Adresse meines HTTP-Proxys.
Es gibt viele Regler in wireshark, einige davon haben damit zu tun, welche Ports als gültige HTTP-Ports gelten. Wenn Sie Anwendungen haben, die HTTP-Downloads über ungewöhnliche TCP-Ports durchführen, müssen Sie Wireshark möglicherweise anpassen, um diesen Datenverkehr als HTTP zu interpretieren.