linux嗅探
A. 如何在linux上从命令行嗅探HTTP流量
假设你出于某个原因而想嗅探网络上的实时HTTP Web流量(比如HTTP请求和回应)。比如说,你可能在测试网站服务器的试验性功能,或者在调试Web应用程序或充分利用REST的服务,抑或是你想要为PAC(代理自动配置)排查故障,或检查从某个网站偷偷下载的任何恶意软件文件。不管出于什么原因,嗅探HTTP流量大都有帮助,对系统管理员、开发人员、甚至最终用户来说都是如此。
虽然tcpmp等数据包嗅探工具广泛用于实时的数据包转储,你还是需要建立合理的过滤机制,以便只捕获HTTP流量;即使那样,通常无法很容易地在HTTP协议层面解读它们的原始输出。ngxtop等实时网站服务器日志分析工具提供了人类可读的实时网站流量痕迹,但只有在完全访问实时网站服务器日志的情况下才适用。
虽然拥有tcpmp之类的嗅探工具不错,但只针对HTTP流量。实际上,httpry正是我们所需的一款HTTP数据包嗅探工具。httpry可捕获网络上的实时HTTP数据包,并且以一种人类可读的格式,显示HTTP协议层面的内容。我们在本教程中将看看如何使用httpry来嗅探HTTP流量。
将httpry安装到Linux上
在基于Debian的系统上(Ubuntu或Linux Mint),httpry并未出现在基本软件库中。所以要使用其源代码来构建它:
___FCKpd___0nbsp;sudo apt-get install gcc make git libpcap0.8-dev ___FCKpd___0nbsp;git clone https://github.com/jbittel/httpry.git ___FCKpd___0nbsp;cd httpry ___FCKpd___0nbsp;make ___FCKpd___0nbsp;sudo make install在Fedora、CentOS或RHEL上,你可以使用yum来安装httpry,如下所示。在CentOS/RHEL上,先启用EPEL软件库,再运行yum。
___FCKpd___1nbsp;sudo yum install httpry如果你仍想在基于RPM的系统上使用源代码来构建httpry,很容易做到这一点,只要:
___FCKpd___2nbsp;sudo yum install gcc make git libpcap-devel ___FCKpd___2nbsp;git clone https://github.com/jbittel/httpry.git ___FCKpd___2nbsp;cd httpry ___FCKpd___2nbsp;make ___FCKpd___2nbsp;sudo make installhttpry的基本用法
httpry的基本使用场合如下:
___FCKpd___3nbsp;sudo httpry -i <network-interface>httpry随后侦听某个特定的网络接口,并实时显示捕获的HTTP请求/回应。
不过在大多数情况下,由于大量数据包进进出出,你会看到快速滚动的输出结果。所以,你应该保存已捕获的HTTP数据包以便离线分析。为此,使用“-b”或“-o”选项。“-b”选项让你可以将原始的HTTP数据包保存到二进制文件中,然后可以使用httpry回放HTTP数据包。另一方面,“-o”选项将httpry人类可读的输出结果保存到文本文件中。
想把原始的HTTP数据包保存到二进制文件中:
___FCKpd___4nbsp;sudo httpry -i eth0 -b output.mp回放已保存的HTTP数据包:
___FCKpd___5nbsp;httpry -r output.mp请注意:当你使用“-r”选项读取转储文件时,就不需要根权限。
想将httpry的输出结果保存到文本文件中:
___FCKpd___6nbsp;sudo httpry -i eth0 -o output.txthttpry的高级用法
如果你只想监视特定的HTTP方法(比如GET、POST、PUT、HEAD和CONNECT等),可以使用“-m”选项:
___FCKpd___7nbsp;sudo httpry -i eth0 -m get,head
如果你下载了httpry的源代码,就会注意到源代码随带一系列有助于分析httpry输出结果的Perl脚本。这些脚本位于httpry/scripts/plugins目录中。如果你想编写自定义的脚本来分析httpry的输出结果,这些脚本就是可供参考的好例子。其中一些功能如下:
•hostnames:显示独特主机名称和主机数量的列表。
•find_proxies:检测网站代理系统。
•search_terms:查找并计数搜索服务中输入的搜索词语。
•content_analysis:查找含有特定关键词的URL。
•xml_output:将输出结果转换成XML格式。
•log_summary:生成日志摘要。
•db_mp:将日志文件数据转储到MySQL数据库中。
在使用这些脚本之前,先使用“-o”选项运行httpry一段时间。一旦你获得了输出文件,使用下面这个命令,运行一次脚本:
___FCKpd___8nbsp;cd httpry/scripts ___FCKpd___8nbsp;perl parse_log.pl -d ./plugins <httpry-output-file>你可能会遇到几个插件的警告信息。比如说,如果你没有创建带DBI接口的MySQL数据库,db_mp插件就可能会出错。要是某个插件未能初始化,它会自动被禁用。所以,你可以忽视那些警告信息。
在parse_log.pl完成之后,你会在httpry/scripts目录下看到许多分析结果(*.txt/xml)。比如说,log_summary.txt看起来就像下面这样:
总而言之,如果你碰到需要解读实时HTTP数据包的情况,httpry就帮得上大忙。普通的Linux用户可能不常解读实时HTTP数据包,但防患未然总归不是件坏事。你觉得这款工具如何?谢谢阅读,希望能帮到大家,请继续关注,我们会努力分享更多优秀的文章。
英文:http://xmolo.com/2014/08/sniff-http-traffic-command-line-linux.html
B. linux嗅探 抓包
在linux上输入命令
tcpmp -nn -A -i eth0 not port 22 -w linux.pcap
就可以抓包了,并且包的内容如果包含wifi账号和密码,也就在里面了
参数说明:
-nn IP和端口都不解析,直接显示数字
-A 以ASCII显示数据包内容
-X 以hex(十六进制)和ASCII显示内容
-q 仅简短,精简内容
-w 写入某个文件
-r 读取-w写入的文件内容
但是还要满足以下条件:
1.人家wifi上网是通过你这台linux的,
2.你抓包的时候人家正在登陆wifi,而不是已经成功登陆过wifi了,或一直没有登陆wifi,
3.密码是明文的,而不是加密的。
那抓的包里面就可以看到wifi账号和密码了。
另外,有基于linux系统的去破解wifi的,这个是基于暴力破解,跟抓包又不一样了。
C. 如何在Linux上从命令行嗅探HTTP流量
必须要在路由器上配置“端口镜像”或者“端口监控”才可以。linux下只能用tcpmp抓包,还是要拷贝到windows下来用wireshark查看。
我建议你不如直接在windows下安装“WFilter上网行为管理”,可以监控所有设备的流量,还可以配置封堵策略。
D. 如何在Linux上从命令行嗅探HTTP流量
假设由于某种原因,你需要嗅探HTTP站点的流量(如HTTP请求与响应)。举个例子,你可能在测试一个web服务器的实验性功能,或者你在为某个web应用或RESTful服务排错,又或者你正在为PAC(proxy auto config)排错或寻找某个站点下载的恶意软件。不论什么原因,在这些情况下,进行HTTP流量嗅探对于系统管理、开发者、甚至最终用户来说都是很有帮助的。
数据包嗅工具tcpmp被广泛用于实时数据包的导出,但是你需要设置过滤规则来捕获HTTP流量,甚至它的原始输出通常不能方便的停在HTTP协议层。实时web服务器日志解析器如ngxtop可以提供可读的实时web流量跟踪痕迹,但这仅适用于可完全访问live web服务器日志的情况。
要是有一个仅用于抓取HTTP流量的类似tcpmp的数据包嗅探工具就非常好了。事实上,httpry就是:HTTP包嗅探工具。httpry捕获HTTP数据包,并且将HTTP协议层的数据内容以可读形式列举出来。通过这篇指文章,让我们了解如何使用httpry工具嗅探HTTP流量。
在Linux上安装httpry
基于Debian系统(Ubuntu 或 LinuxMint),基础仓库中没有httpry安装包(译者注:本人ubuntu14.04,仓库中已有包,可直接安装)。所以我们需要通过源码安装:
$ sudo apt-get install gcc make git libpcap0.8-dev$ git clone https://github.com/jbittel/httpry.git$ cd httpry$ make$ sudo make install
在Fedora,CentOS 或 RHEL系统,可以使用如下yum命令安装httpry。在CentOS/RHEL系统上,运行yum之前使其能够访问EPEL repo。
$ sudo yum install httpry
如果你仍想通过基于RPM系统的源码来安装httpry的话,你可以通过这几个步骤实现:
$ sudo yum install gcc make git libpcap-devel$ git clone https://github.com/jbittel/httpry.git$ cd httpry$ make$ sudo make install
httpry的基本用法 ...
E. 如何在Linux上从命令行嗅探HTTP流量
iftop,iptraf-ng,nload,ifstat,sar等软件,记得有几个系统一般都自带。推荐使用iftop
不过,既然要监控网卡,自然需要root权限。另外,所谓HTTP流量,这里并没有细究,这里的软件只是找到网络流量进出的IP地址等,不知能否满足要求
F. 最新嗅探器哪里可以买到
在淘宝,京东可以买。
嗅探器是一种监视网络数据运行的软件设备,协议分析器既能用于合法网络管理也能用于窃取网络信息。
网络运作和维护都可以采用协议分析器如监视网络流量,分析数据包,监视网络资源利用,执行网络安全操作规则,鉴定分析网络数据以及诊断并修复网络问题等等。非法嗅探器严重威胁网络安全性,这是因为它实质上不能进行探测行为且容易随处插入,所以网络黑客常将它作为攻击武器。
嗅探器最初由 Network General 推出,由 Network Associates 所有。最近,Network Associates 决定另开辟一个嗅探器产品单。
该单元组成一家私有企业并重新命名为 Network General,如今嗅探器已成为 Network General 公司的一种特征产品商标,由于专业人士的普遍使用,嗅探器广泛应用于所有能够捕获和分析网络流量的产品。
设备简介语音在讲述Sniffer的概念之前,首先需要讲述局域网设备的一些基本概念。
数据在网络上是以很小的称为帧(Frame)的单位传输的,帧由几部分组成,不同的部分执行不同的功能。帧通过特定的称为网络驱动程序的软件进行成型,然后通过网卡发送到网线上,通过网线到达它们的目的机器,在目的机器的一端执行相反的过程。
接收端机器的以太网卡捕获到这些帧,并告诉操作系统帧已到达,然后对其进行存储。就是在这个传输和接收的过程中,存在安全方面的问题。
每一个在局域网上的工作站都有其硬件地址,这些地址惟一地表示了网络上的机器这一点与Internet地址系统比较相似。当用户发送一个数据包时,这些数据包就会发送到LAN上所有可用的机器。
在一般情况下,网络上所有的机器都可以“听”到通过的流量,但对不属于自己的数据包则不予响应换句话说,工作站A不会捕获属于工作站B的数据,而是简单地忽略这些数据。如果某个工作站的网络接口处于混杂模式关于混杂模式的概念会在后面解释,那么它就可以捕获网络上所有的数据包和帧。
Sniffer程序是一种利用以太网的特性把网络适配卡置为杂乱模式状态的工具,一旦网卡设置为这种模式,它就能接收传输在网络上的每一个信息包。
普通的情况下,网卡只接收和自己的地址有关的信息包,即传输到本地主机的信息包。要使Sniffer能接收并处理这种方式的信息,系统需要支持 BPF,Linux下需要支持SOCKET-PACKET。
但一般情况下,网络硬件和TCPIP堆栈不支持接收或者发送与本地计算机无关的数据包,所以,为了绕过标准的堆栈,网卡就必须设置为混杂模式。一般情况下,要激活这种方式。
内核必须支持这种伪设备BPFilter,而且需要root权限来运行这种程序,所以Sniffer需要root身份安装,如果只是以本地用户的身份进入了系统,那么不可能嗅探到root的密码,因为不能运行Sniffer。
G. kali linux怎么嗅探路由器下所有设备的流量
必须要在路由器上配置“端口镜像”或者“端口监控”才可以。linux下只能用tcpmp抓包,还是要拷贝到windows下来用wireshark查看。
我建议你不如直接在windows下安装“WFilter上网行为管理软件”,可以监控所有设备的流量,还可以配置封堵策略。
H. 如何在Linux上从命令行嗅探HTTP流量
必须要在路由器上配置“端口镜像”或者“端口监控”才可以。linux下只能用tcpmp抓包,还是要拷贝到windows下来用wireshark查看。 我建议你不如直接在windows下安装“WFilter上网行为管理”,可以监控所有设备的流量,还可以配置封堵策略。
I. Linux系统下黑客都有哪些常用的嗅探器
顾名思义,嗅探就是为了采集对象的相关信息,用黑话说就是踩点。问题是你的手段和工具高不高明先不先进,能收集到多少有用的信息是个问题。
J. kali linux怎么嗅探路由器下所有设备的流量
必须要在
路由器
上配置“
端口镜像
”或者“端口监控”才可以。linux下只能用tcpmp
抓包
,还是要拷贝到windows下来用
wireshark
查看。
我建议你不如直接在windows下安装“WFilter
上网行为管理软件
”,可以监控所有设备的流量,还可以配置封堵策略。