Qual è il modo più semplice per sniffare i dati del traffico TCP su Linux?

Aggiornamento:

Come indicato da Michal nei commenti: Dalla versione 1.3 di tcpflow viene usata l'opzione -e per specificare il nome dello scanner. Quindi viene stampato l'errore “Invalid scanner name ‘8983’”. Il comando corretto è

sudo tcpflow -i any -C -J port 1234

(anche -J è stato cambiato in -g nell'ultima versione)

Grazie a yves per avermi indicato tcpflow “. Ecco la riga di comando:

tcpflow -i any -C -e port 1234 # as root, or with sudo

Questo fa tutto ciò che voglio

• visualizza i dati byte per byte come arrivano
• non visualizza nessun altro metadato
• ascolta su tutte le interfacce (quindi cattura i dati provenienti dall'interno e dall'esterno della macchina)

Il ”-C“ gli dice di fare il dump sulla console invece che su un file. Lo ”-e“ abilita i colori in modo che client->server e server->client siano visivamente distinti.

Ho installato tcpflow semplicemente facendo

sudo apt-get install tcpflow

socat è lo strumento che state chiedendo. Può agire come un proxy:

$socat -v TCP-LISTEN:4444 TCP:localhost:1234
hello

allora la tua applicazione deve connettersi alla porta 4444 invece di connettersi direttamente alla 1234

l'opzione -v è per socat di stampare tutto ciò che riceve sull'errore standard (stderr).

Aggiornamento:

Se socat non è disponibile sulla vostra macchina, potete comunque emularlo con netcat:

$netcat -l -p 4444 | tee output_file | netcat localhost 1234

avvertenze: questa opzione è unidirezionale. la seconda istanza di netcat stamperà qualsiasi risposta dal vostro server allo standard output. Si può ancora fare allora:

$mkfifo my_fifo
$netcat -l -p 4444 < my_fifo | tee output_file | netcat localhost 1234 > my_fifo

Prova Wireshark . È un eccellente analizzatore di protocollo mirato sia per Linux che per Windows.

tcpflow è quello che volete. Estratto dalla pagina man:

DESCRIZIONE tcpflow è un programma che cattura i dati trasmessi come parte delle connessioni TCP (flussi), e memorizza i dati in un modo che è conveniente per l'analisi del protocollo o il debug. Un programma come tcpdump(4) mostra un riassunto dei pacchetti visti sul filo, ma di solito non memorizza i dati che vengono effettivamente trasmessi. Al contrario, tcpflow ricostruisce i flussi di dati effettivi e memorizza ogni flusso in un file separato per analisi successive. tcpflow capisce i numeri di sequenza TCP e ricostruisce correttamente i flussi di dati indipendentemente dalle ritrasmissioni o dalle consegne fuori ordine.

tcpflow memorizza tutti i dati catturati in file che hanno nomi della forma

192.168.101.102.02345-010.011.012.013.45103

dove il contenuto del suddetto file sarebbe dati trasmessi dall'host 192.168.101.102 porta 2345, all'host 10.11.12.13 porta 45103.

Imposta una connessione dalla tua applicazione al tuo server. Quando la connessione è attiva e funzionante, tcpflow è ancora in grado di catturare dati da essa Per esempio:

$ sudo tcpflow -i lo port 5555
tcpflow[3006]: listening on lo

Ogni dato sarà memorizzato in un file chiamato 127.000.000.001.48842-127.000.000.001.05555.

Potete ancora reindirizzare questo sullo standard output con l'opzione -Cs . Leggete la pagina del manuale per giocare con l'espressione per sintonizzare i paquets che volete che tcpflow catturi.

ngrep è molto bello per questo. Prende una stringa BPF e una stringa opzionale da cercare all'interno dei pacchetti, e poi scarica il contenuto del pacchetto sullo schermo in un formato abbastanza utile. Opzionalmente scarica anche in un file pcap\dump che si può esaminare più da vicino in Wireshark in seguito.

Dai un'occhiata a Chaosreader . Anche se fa un po’ più di quello che chiedi e in modo leggermente diverso, probabilmente potresti modificarne il codice per fare quello che vuoi.

Forse puoi scrivere un wrapper per tcpdump, per esempio, che rimuova tutte le informazioni ridondanti