Я только что получил доступ к малине Pi, и я настроил его как DNS-сервер и DHCP-сервер в своей домашней сети. Это означает, что все сетевые запросы проходят через него до того, как они выпущены в дикую природу ... Что дает мне отличную возможность использовать tcpdump и посмотреть, что происходит в моей сети!Использование tcpdump для просмотра доступа к веб-сайтам в моей сети
Я играю с аргументами tcpdump, чтобы создать идеальный сетевой шпион. Идея заключается в захвате запросов HTTP GET.
Это то, что я до сих пор, и это очень хорошо:
tcpdump -i eth0 'tcp[((tcp[12:1] & 0xf0)>> 2):4] = 0x47455420' -A
-i eth0
говорит он, какой интерфейс слушать- бит в кавычках это отличный бит шестигранного соответствия для обнаружения запрос GET
-A
означает «печать содержимого ASCII этого пакета»
Это срабатывает каждый раз, когда что-либо в моей сети отправляет запрос GET, что отлично. Мой вопрос, наконец, как я могу отфильтровать скучные запросы, такие как изображения, JavaScript, favicons и т. Д.?
Возможно ли это с помощью tcpdump или мне нужно перейти на нечто более полное, как tshark?
Спасибо за помощь!
ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ: В настоящее время единственным человеком в моей сети является я ... Это не злой, это технический вызов!
Вы также настроили его как прокси/NAT/маршрутизатор? Только сервер DNS/DHCP не видит HTTP-трафик. – jman
Да, это не будет отображать содержимое трафика на другие компьютеры на любой коммутируемой (то есть удаленно современной) локальной сети. И он будет видеть только DNS-запросы, которые на самом деле попали на него, а не те, которые разрешены из кэша DNS клиента, или из клиента, явно настроенного на использование внешнего DNS-сервера. Чтобы получить все, как правило, вам приходится снимать на шлюзе или (если используется) NAT box - часто один и тот же. –