Come acquisire tutti i pacchetti HTTP usando tcpdump

Question

Voglio eseguire tcpdump con alcuni parametri (ancora non so cosa usare). Quindi caricare la pagina stackoverflow.com.

L'output deve essere la comunicazione HTTP. Più tardi voglio usarlo come script di shell. Quindi, ogni volta che voglio controllare la comunicazione HTTP di un sito site.com posso semplicemente eseguire script.sh site.com

La comunicazione HTTP dovrebbe essere abbastanza semplice. Mi piace seguire

GET /questions/9241391/how-to-capture-all-the-http-communication-data-using-tcp-dump 
Host: stackoverflow.com 
... 
... 

HTTP/1.1 200 OK 
Cache-Control: public, max-age=60 
Content-Length: 35061 
Content-Type: text/html; charset=utf-8 
Expires: Sat, 11 Feb 2012 15:36:46 GMT 
Last-Modified: Sat, 11 Feb 2012 15:35:46 GMT 
Vary: * 
Date: Sat, 11 Feb 2012 15:35:45 GMT 


.... 
decoded deflated data 
.... 

Ora, potrebbe dirmi quali opzioni dovrei usare con tcpdump per catturarlo.

Answer 1

Esso può essere fatto da ngrep

ngrep -q -d eth1 -W byline host stackoverflow.com and port 80 
    ^^  ^  ^  
     | |  |   | 
     | |  |   | 
     | |  |   v 
     | |  |   filter expression 
     | |  |   
     | |  +--> -W is set the dump format ("normal", "byline", "single", "none") 
     | | 
     | +----------> -d is use specified device instead of the pcap default 
     | 
     +-------------> -q is be quiet ("don't print packet reception hash marks") 

Answer 2

In base a quanto menzionato, ngrep (su Unix) e Fiddler (Windows) potrebbero essere soluzioni migliori/più semplici.

Se si vuole assolutamente usare tcpdump, provare le seguenti opzioni

 
tcpdump -A -vvv host destination_hostname 

-A (ascii) 
-vvv (verbose output) 

Answer 3

tcpdump -i eth0 -w dump3.pcap -v 'tcp e (((ip [2: 2] -! ((ip [0] & 0xf) < < 2)) - ((TCP [12] & 0xF0) >> 2)) = 0)'

s ee http://www.tcpdump.org/manpages/tcpdump.1.html