tcpdump: analizzare i dati (request, response header e body) inviati da un client - SMsoft

Ultimamente mi è capitato di dover controllare “cosa” veniva passato da un client ad un server, per fare il reverse engeniring di una chiamata.

Per queste cose, tcpdump è ottimo; vi lascio un paio di utili comani da poter usare.

I comandi presuppongono che le richieste arrivano tramite la scheda eth1 sulla classic porta 80:

tcpdump -i eth1 -A -s 0 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'

oppure per vedere i dati in formato ASCII ed esadecimale:

tcpdump -i eth1 -X -s 0 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'

Se si vogliono analizzare solo le chiamate GET:

tcpdump -i eth1 -s 0 -A 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420'

Per analizzare solo le chiamate POST:

tcpdump -i eth1 -s 0 -A 'tcp dst port 80 and (tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354)'

Per analizzare il traffico in uscita verso la porta 1935:

tcpdump -i eth1 -Q out port 1935

Informazioni utili sono presenti anche nella pagina del manuale di tcpdump, visibile con:

man tcpdump | less -Ip examples

enjoy!

Se hai trovato utili le informazioni su questo blog,
Fai una donazione!
Clicca sul bottone qui sotto o almeno clicca sul banner pubblicitario 🙂