tráfico de red, enlaces y rutas de descarga y carga

Question

Si usa Wireshark, necesita filtrar por operaciones HTTP GET y POST... suponiendo que genere tshark(texto Wireshark) desde la CLI:

Un ejemplo muy tonto, todo lo que estoy haciendo es filtrar el tráfico TCP y buscar una operación GETu POST... si desea capturar menos (y por lo tanto usar menos recursos), mejore el filtro para capturar menos que TCP.

[mpenning@Hotcoffee Models]$ sudo tshark -i eth0 tcp | grep -E "GET|POST"
Running as user "root" and group "root". This could be dangerous.
Capturing on eth0
 32.282144 172.25.116.10 -> 172.25.0.14  HTTP GET http://cisco.com/ HTTP/1.0 
 32.411775 172.25.116.10 -> 172.25.0.14  HTTP GET http://www.cisco.com/ HTTP/1.0 
 44.056340 172.25.116.10 -> 172.25.116.12 HTTP GET /render/?width=586&height=308&_salt=1336597549.993&target=pctcore_pctlab_local.snmp.if_octets.vlan.rx&target=pctcore_pctlab_local.snmp.if_octets.vlan.tx&from=-12hours HTTP/1.1

La dirección Ethernet de mi máquina es 172.25.116.10. Tenga en cuenta que cisco.comno está en 172.25.0.14; esa es la dirección de mi proxy HTTP.

Hay muchas perillas en wireshark, algunas tienen que ver con qué puertos se consideran puertos HTTP válidos. Si tiene aplicaciones que realizan descargas HTTP en puertos TCP inusuales, es posible que necesite ajustar Wirehark para interpretar este tráfico como HTTP.

Answer 1

Necesitas usartiburón de alambre

Si usa Wireshark, necesita filtrar por operaciones HTTP GET y POST... suponiendo que genere tshark(texto Wireshark) desde la CLI:

Un ejemplo muy tonto, todo lo que estoy haciendo es filtrar el tráfico TCP y buscar una operación GETu POST... si desea capturar menos (y por lo tanto usar menos recursos), mejore el filtro para capturar menos que TCP.

[mpenning@Hotcoffee Models]$ sudo tshark -i eth0 tcp | grep -E "GET|POST"
Running as user "root" and group "root". This could be dangerous.
Capturing on eth0
 32.282144 172.25.116.10 -> 172.25.0.14  HTTP GET http://cisco.com/ HTTP/1.0 
 32.411775 172.25.116.10 -> 172.25.0.14  HTTP GET http://www.cisco.com/ HTTP/1.0 
 44.056340 172.25.116.10 -> 172.25.116.12 HTTP GET /render/?width=586&height=308&_salt=1336597549.993&target=pctcore_pctlab_local.snmp.if_octets.vlan.rx&target=pctcore_pctlab_local.snmp.if_octets.vlan.tx&from=-12hours HTTP/1.1

La dirección Ethernet de mi máquina es 172.25.116.10. Tenga en cuenta que cisco.comno está en 172.25.0.14; esa es la dirección de mi proxy HTTP.

Hay muchas perillas en wireshark, algunas tienen que ver con qué puertos se consideran puertos HTTP válidos. Si tiene aplicaciones que realizan descargas HTTP en puertos TCP inusuales, es posible que necesite ajustar Wirehark para interpretar este tráfico como HTTP.

tráfico de red, enlaces y rutas de descarga y carga

Respuesta1

información relacionada