tcpdump vs tcpflow(或“为什么不是tcpdump ASCII包数据人类可读?”)
[英]tcpdump vs tcpflow (or “why isn't tcpdump ASCII packet data human readable?”)
问题描述
我已经使用了两者,并且我得出结论,我可以使用tcpflow从网页读取html数据,但不能使用tcpdump。 我得到的最好的是一些带有大量句号的丑陋ASCII文本。
我的理解是tcpdump不会重新组装数据包,而tcpflow会这样做。 但如果这是关键的区别,那么来自tcpdump的数据包数据是否仍然是人类可读的 - 只是在较小的块中? 问题是tcpdump仅限于ASCII,大多数网络流量是用UTF-8编码的吗?
我是网络分析/编程的新手,如果我遗漏了一些明显的东西,请原谅我。
2 个解决方案
解决方案1
11 已采纳 2011-11-27 23:19:28
要获得加密数据,应使用tcpdump和选项tcpdump –A (大写a)。 它传输没有任何标题的文本,主要用于网页。 因此我们很容易得到响应页面。
我认为你在应用层和传输层数据包之间感到困惑。
我不知道tcpflow,但tcpdump捕获整个数据包(包括标题和所有其他东西)而不仅仅是数据。你提到的html数据将在tcp / udp / icmp数据包的数据部分,无论你使用哪个所以它需要你理解tcp / udp / icmp数据包的结构......
我在我的机器上捕获这个数据包,HTML数据清晰可见,你需要编写脚本,从输出中获取数据包结构的知识。
16:15:17.968325 IP 172.31.9.84.80 > 172.31.9.177.56559: P 2575928381:2575928808(427)
ack 65285447 win 1716 <nop,nop,timestamp 21031622 15165633>
0x0000: 4500 01df 66fd 4000 4006 66d8 ac1f 0954 E...f.@.@.f....T
0x0010: ac1f 09b1 0050 dcef 9989 8c3d 03e4 2d47 ..... P.....=..-G
0x0020: 8018 06b4 1a2a 0000 0101 080a 0140 eac6 .....*.......@..
0x0030: 00e7 68c1 4854 5450 2f31 2e31 2032 3030 ..h.HTTP/1.1.200
0x0040: 204f 4b0d 0a44 6174 653a 2046 7269 2c20 .OK..Date:.Fri,.
0x0050: 3130 204a 756c 2032 3030 3920 3130 3a32 10.Jul.2009.10:2
0x0060: 303a 3136 2047 4d54 0d0a 5365 7276 6572 0:16.GMT..Server
0x0070: 3a20 4170 6163 6865 2f32 2e30 2e35 3220 :.Apache/2.0.52.
0x0080: 2852 6564 2048 6174 290d 0a4c 6173 742d (Red.Hat)..Last-
0x0090: 4d6f 6469 6669 6564 3a20 4672 692c 2031 Modified:.Fri,.1
0x00a0: 3020 4a75 6c20 3230 3039 2030 393a 3331 0.Jul.2009.09:31
0x00b0: 3a30 3420 474d 540d 0a45 5461 673a 2022 :04.GMT..ETag:."
0x00c0: 3266 6231 3333 2d37 372d 6131 3935 3436 2fb133-77-a19546
0x00d0: 3030 220d 0a41 6363 6570 742d 5261 6e67 00"..Accept-Rang
0x00e0: 6573 3a20 6279 7465 730d 0a43 6f6e 7465 es:.bytes..Conte
0x00f0: 6e74 2d4c 656e 6774 683a 2031 3139 0d0a nt-Length:.119..
0x0100: 4b65 6570 2d41 6c69 7665 3a20 7469 6d65 Keep-Alive:.time
0x0110: 6f75 743d 3135 2c20 6d61 783d 3130 300d out=15,.max=100.
0x0120: 0a43 6f6e 6e65 6374 696f 6e3a 204b 6565 .Connection:.Kee
0x0130: 702d 416c 6976 650d 0a43 6f6e 7465 6e74 p-Alive..Content
0x0140: 2d54 7970 653a 2074 6578 742f 6874 6d6c -Type:.text/html
0x0150: 3b20 6368 6172 7365 743d 4953 4f2d 3838 ;.charset=ISO-88
0x0160: 3539 2d31 0d0a 0d0a 3c68 746d 6c3e 0a0a 59-1....<html>..
0x0170: 3c62 6f64 793e 0a49 6e64 6961 6e20 696e <body>.Indian.in
0x0180: 7374 6974 7574 6520 6f66 2074 6563 686e stitute.of.techn
0x0190: 6f6c 6f67 7920 2e2e 2e2e 2e20 7468 6973 ology.......this
0x01a0: 2069 7320 7468 6520 7465 7374 2070 6167 .is.the.test.pag
0x01b0: 652e 0a3c 4120 6872 6566 3d22 6164 2e68 e..<A.href="ad.h
0x01c0: 746d 6c22 3e61 6263 643c 2f41 3e0a 0a3c tml">abcd</A>..<
0x01d0: 2f62 6f64 793e 0a3c 2f68 746d 6c3e 0a /body>.</html>.
最后7-8行描述了html数据。
使用-s0捕获整个帧,使用-X以上述ASCII人类可读格式打印。
要获得加密数据,应使用带有选项-A(大写字母a)的TCPDUMP。 它传输没有任何标题的文本,主要用于网页。 因此我们很容易得到响应页面。
例如:
我在端口80请求index.html到172.31.9.84
然后我请求了GET / index.html(一个只包含文本的示例页面“印度理工学院这是测试页面”)
在我捕获数据包的这一刻,我得到了一些东西:
Request:
18:10:42.387426 IP 172.31.9.177.42943 > 172.31.9.84.80:
P 1:15(14) ack 1 win 46 <nop,nop,timestamp 6644101 353753635>
E..B.G@.@........T...P^R.Mb.L.....ke.....
.ea....#GET /index.html
Response:
18:10:42.388127 IP 172.31.9.84.80 > 172.31.9.177.42943: P 1:53(52)
ack 15 win 1448 <nop,nop,timestamp 353758368 6644101>
E..h..@.@.8m..T.. ..P..b.L.^R.[....d......
.....ea.<html>
<body>
Indian institute of technology this is the test page
</body>
</html>
解决方案2
3 2013-03-20 23:15:01
尝试使用tcpdump获取HTTP数据时,如果应用-A选项,将在ASCII中看到明文。 但是,HTTP数据几乎总是使用gzip模式或其他模式进行压缩。 你可以在标题中看到它:
内容编码:gzip,compress,bzip2
因此,tcpdump将在屏幕上输出几个字节,它们是压缩数据! 您将需要使用tshark或wireshark来查看平面数据。 那么你的问题不是UTF8。
您可以在Apache Web服务器中测试tcpdump数据显示禁用deflate模块。
希望这有帮助。
为什么Java看不到tcpdump显示的传入UDP数据包?
[英]Why doesn't Java see an incoming UDP packet that tcpdump shows is received?
如何用tcpdump从第二个tcp连接告诉第一个fin包?
[英]How to tell the first fin packet of tcp connection from the second with tcpdump?
Wireshark / tcpdump / libpcap在Linux内核中的哪里拦截数据包?
[英]Where did Wireshark/tcpdump/libpcap intercept packet inside Linux kernel?
为什么tcpdump只捕获过滤器接收到的一半数据包?
[英]Why does tcpdump capture only half the packets that is received by the filter?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.