Linux上怎樣查探HTTP流量

春健時(shí)間：2016-09-19 13:58:46

　　Linux下使用httpry來嗅探HTTP流量教程出于某種需要有時(shí)會(huì)想要嗅探HTTP流量,那么Linux上怎樣查探HTTP流量呢?下文學(xué)習(xí)啦小編就分享了Linux上查探HTTP流量的方法，希望對(duì)大家有所幫助。

　　Linux上查探HTTP流量方法

　　比如說，你可能在測(cè)試網(wǎng)站服務(wù)器的試驗(yàn)性功能，或者在調(diào)試Web應(yīng)用程序或充分利用REST的服務(wù)，抑或是你想要為PAC(代理自動(dòng)配置)排查故障，或檢查從某個(gè)網(wǎng)站偷偷下載的任何惡意軟件文件。不管出于什么原因，嗅探HTTP流量大都有幫助，對(duì)系統(tǒng)管理員、開發(fā)人員、甚至最終用戶來說都是如此。

　　雖然tcpdump等數(shù)據(jù)包嗅探工具廣泛用于實(shí)時(shí)的數(shù)據(jù)包轉(zhuǎn)儲(chǔ)，你還是需要建立合理的過濾機(jī)制，以便只捕獲HTTP流量;即使那樣，通常無法很容易地在HTTP協(xié)議層面解讀它們的原始輸出。ngxtop等實(shí)時(shí)網(wǎng)站服務(wù)器日志分析工具提供了人類可讀的實(shí)時(shí)網(wǎng)站流量痕跡，但只有在完全訪問實(shí)時(shí)網(wǎng)站服務(wù)器日志的情況下才適用。

　　雖然擁有tcpdump之類的嗅探工具不錯(cuò)，但只針對(duì)HTTP流量。實(shí)際上，httpry正是我們所需的一款HTTP數(shù)據(jù)包嗅探工具。httpry可捕獲網(wǎng)絡(luò)上的實(shí)時(shí)HTTP數(shù)據(jù)包，并且以一種人類可讀的格式，顯示HTTP協(xié)議層面的內(nèi)容。我們?cè)诒窘坛讨袑⒖纯慈绾问褂胔ttpry來嗅探HTTP流量。

　　將httpry安裝到Linux上

　　在基于Debian的系統(tǒng)上(Ubuntu或Linux Mint)，httpry并未出現(xiàn)在基本軟件庫中。所以要使用其源代碼來構(gòu)建它：

　　$ sudo apt-get install gcc make git libpcap0.8-dev $ git clone https://github.com/jbittel/httpry.git $ cd httpry $ make $ sudo make install

　　在Fedora、CentOS或RHEL上，你可以使用yum來安裝httpry，如下所示。在CentOS/RHEL上，先啟用EPEL軟件庫，再運(yùn)行yum。

　　$ sudo yum install httpry

　　如果你仍想在基于RPM的系統(tǒng)上使用源代碼來構(gòu)建httpry，很容易做到這一點(diǎn)，只要：

　　$ sudo yum install gcc make git libpcap-devel $ git clone https://github.com/jbittel/httpry.git $ cd httpry $ make $ sudo make install

　　httpry的基本用法

　　httpry的基本使用場(chǎng)合如下：

　　$ sudo httpry -i

　　httpry隨后偵聽某個(gè)特定的網(wǎng)絡(luò)接口，并實(shí)時(shí)顯示捕獲的HTTP請(qǐng)求/回應(yīng)。

　　不過在大多數(shù)情況下，由于大量數(shù)據(jù)包進(jìn)進(jìn)出出，你會(huì)看到快速滾動(dòng)的輸出結(jié)果。所以，你應(yīng)該保存已捕獲的HTTP數(shù)據(jù)包以便離線分析。為此，使用“-b”或“-o”選項(xiàng)。“-b”選項(xiàng)讓你可以將原始的HTTP數(shù)據(jù)包保存到二進(jìn)制文件中，然后可以使用httpry回放HTTP數(shù)據(jù)包。另一方面，“-o”選項(xiàng)將httpry人類可讀的輸出結(jié)果保存到文本文件中。

　　想把原始的HTTP數(shù)據(jù)包保存到二進(jìn)制文件中：

　　$ sudo httpry -i eth0 -b output.dump

　　回放已保存的HTTP數(shù)據(jù)包：

　　$ httpry -r output.dump

　　請(qǐng)注意：當(dāng)你使用“-r”選項(xiàng)讀取轉(zhuǎn)儲(chǔ)文件時(shí)，就不需要根權(quán)限。

　　想將httpry的輸出結(jié)果保存到文本文件中：

　　$ sudo httpry -i eth0 -o output.txt

　　httpry的高級(jí)用法

　　如果你只想監(jiān)視特定的HTTP方法(比如GET、POST、PUT、HEAD和CONNECT等)，可以使用“-m”選項(xiàng)：

　　$ sudo httpry -i eth0 -m get,head

　　如果你下載了httpry的源代碼，就會(huì)注意到源代碼隨帶一系列有助于分析httpry輸出結(jié)果的Perl腳本。這些腳本位于httpry/scripts/plugins目錄中。如果你想編寫自定義的腳本來分析httpry的輸出結(jié)果，這些腳本就是可供參考的好例子。其中一些功能如下：

　　•hostnames：顯示獨(dú)特主機(jī)名稱和主機(jī)數(shù)量的列表。

　　•find_proxies：檢測(cè)網(wǎng)站代理系統(tǒng)。

　　•search_terms：查找并計(jì)數(shù)搜索服務(wù)中輸入的搜索詞語。

　　•content_analysis：查找含有特定關(guān)鍵詞的URL。

　　•xml_output：將輸出結(jié)果轉(zhuǎn)換成XML格式。

　　•log_summary：生成日志摘要。

　　•db_dump：將日志文件數(shù)據(jù)轉(zhuǎn)儲(chǔ)到MySQL數(shù)據(jù)庫中。

　　在使用這些腳本之前，先使用“-o”選項(xiàng)運(yùn)行httpry一段時(shí)間。一旦你獲得了輸出文件，使用下面這個(gè)命令，運(yùn)行一次腳本：

　　$ cd httpry/scripts $ perl parse_log.pl -d ./plugins

　　你可能會(huì)遇到幾個(gè)插件的警告信息。比如說，如果你沒有創(chuàng)建帶DBI接口的MySQL數(shù)據(jù)庫，db_dump插件就可能會(huì)出錯(cuò)。要是某個(gè)插件未能初始化，它會(huì)自動(dòng)被禁用。所以，你可以忽視那些警告信息。

　　在parse_log.pl完成之后，你會(huì)在httpry/scripts目錄下看到許多分析結(jié)果(*.txt/xml)。比如說，log_summary.txt看起來就像下面這樣：

　　總而言之，如果你碰到需要解讀實(shí)時(shí)HTTP數(shù)據(jù)包的情況，httpry就幫得上大忙。