Format lisible par l'homme pour les en-têtes http avec tcpdump

Voici une ligne simple que j'ai créée pour afficher les en-têtes HTTP de la demande et de la réponse à l'aide de la fonction tcpdump (ce qui devrait aussi fonctionner dans votre cas) :

sudo tcpdump -A -s 10240 'tcp port 4080 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)' | egrep --line-buffered "^........(GET |HTTP\/|POST |HEAD )|^[A-Za-z0-9-]+: " | sed -r 's/^........(GET |HTTP\/|POST |HEAD )/\n\1/g'

Il coupe le paquet à 10Kb et ne connaît que les commandes GET, POST et HEAD, mais cela devrait suffire dans la majorité des cas.

エディテージ Je l'ai modifié pour supprimer les buffers à chaque étape et le rendre plus réactif. Il a cependant besoin de Perl et de stdbuf maintenant, donc utilisez la version originale si vous ne les avez pas : エディテージ : Changement des cibles du port script de 80 à 4080, pour écouter réellement le trafic qui est déjà passé par apache, au lieu du trafic extérieur direct arrivant sur le port 80 :

sudo stdbuf -oL -eL /usr/sbin/tcpdump -A -s 10240 "tcp port 4080 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)" | egrep -a --line-buffered ".+(GET |HTTP\/|POST )|^[A-Za-z0-9-]+: " | perl -nle 'BEGIN{$|=1} { s/.*?(GET |HTTP\/[0-9.]* |POST )/\n$1/g; print }'

Quelques explications :

• sudo stdbuf -oL -eL fait fonctionner tcpdump en tampon de ligne
• le filtre magique de tcpdump est expliqué en détail ici : https://stackoverflow.com/questions/11757477/understanding-tcpdump-filter-bit-masking
• grep recherche toutes les lignes avec GET, HTTP/ ou POST ; ou toutes les lignes qui ressemblent à un en-tête (lettres et chiffres suivis de deux points).
• BEGIN{$|=1} permet à perl de fonctionner en tampon de ligne
• s/.* ?(GET |HTTP/[0-9.]* |POST )/ \n $1/g ajoute une nouvelle ligne avant le début de chaque nouvelle demande ou réponse