httpdump

[yankee42]

Hi @ll,

ich möchte auf meinem Compi im Hintergrund ein Programm laufen lassen, dass den Netzwerkverkehr auf einem bestimmten Port zu einer bestimmten IP überwacht (es geht ausschließlich um http) und die Übertragenen http-Daten ausgibt.

Etwas simpler ausgedrückt: Ich will, das jedes mal, wenn ich eine Webseite anklicke der Quelltext ausgegeben wird. Gerne einfach alles nach stdout. Mehrere Anfragen dürfen auch gerne einfach hinternander ohne Trennung ausgegeben werden. Das Programm sollte solche Sachen wie gzip und chunked encoding verstehen und daraus den übertragenen Quelltext rausholen. In der Ausgabe brauche ich die Header eigentlich nicht...

Ich habe schon mit einem Proxyserver experimentiert, es ist jedoch sehr unpraktisch, dass der Proxy dann entweder im laufen muss, oder ich im Browser ständig die Einstellungen ändern muss.

Ich habe schon darüber nachgedacht selber mit Hilfe von libpcap was zu schreiben, aber so ganz trivial ist das ja doch nicht. Gibt es sowas möglicherweise schon?

[bischi]

Google mal nach w1r3sh4rk... Wobei ich mir nicht sicher bin, ob das in Deutschland legal ist oder zu den Hackertools gehört... Deswegen poste ich hier keinen Link (naja - den Namen wirst du schon noch entschlüsseln können )

MfG Bischi

[yankee42]

Selbst T3ln3t is ein verbotenes hackertool, weil man damit port scans machen kann ^^.

Und wenn schon ist nur das Programm verboten und nicht sich über die Bedienung zu unterhalten...

Wireshark kenne ich jedenfalls. Tolles Programm. Wenn du mir sagen kannst, wie man damit nicht nur die Pakete anzeigen kann, sondern auch http-Verbindungen rekonstruieren kann...

[bischi]

Ach so Naja - ich hatte halt nur mitbekommen, dass in Deutschland "Hackertools" verboten sind und dass auch schon Foren verklagt wurden, weil irgendwelche Benutzer Zeugs geschrieben haben, dass jemand als illegal angesehen hat. Da wollte ich mich als Moderator nicht allzu weit aus dem Fenster rauslehnen

Zur konkreten Frage: Du kannst doch Filter anlegen und die Ausgabe in Log-Files schreiben. Da sollte es doch sicherlich möglich sein, nur die HTML-Pakete rauszufiltern. Oder täusch ich mich da?

MfG Bischi

[yankee42]

Zur konkreten Frage: Du kannst doch Filter anlegen und die Ausgabe in Log-Files schreiben. Da sollte es doch sicherlich möglich sein, nur die HTML-Pakete rauszufiltern. Oder täusch ich mich da?

Doch, das geht schon. Aber das Problem ist, dass sich eine http-Antwort vom Server auf mehrere tcp-Pakete verteilen kann. Und wenn dann gerade 5 http-Anfragen gleichzeitig laufen (zum Beispiel, weil gleichtzeitig noch Bilder geladen werden), dann kommen von allen 5 verbindungen die Pakete in irgend einer Reihenfolge. Bzw. aufgrund der Eigenheiten von tcp müssen die Pakete einer bestimmten Verbindung nichtmal in der "richtigen" Reihenfolge kommen.
Die Verbindungen kann man natürlich anhand der tcp-header wieder zusammensetzen. Das wäre schon praktisch, wenn man es für wireshark oder sonstwas Parameter gäbe, mit denen man die Progs dazu bewegen kann die zu tun.

EDIT: Ich habe es jetzt mit tcpflow realisiert. Für das Programm gibt es zwar seit 5 Jahren kein Update mehr, und so ganz optimal ist die Ausgabe auch nicht, aber sie genügt zunächst mal meinen Ansprüchen...

[msi]

rechts klick auf ein paket und dann "follow tcp stream" dann öffnet sich ein Fenster in dem alles steht was über TCP verschickt wurde, im Falle von HTTP eben die gesmanten HTTP Daten.

[yankee42]

rechts klick auf ein paket und dann "follow tcp stream" dann öffnet sich ein Fenster in dem alles steht was über TCP verschickt wurde, im Falle von HTTP eben die gesmanten HTTP Daten.

*rumsuch* *weitersuch*
Sieht so aus, als wäre das schon zumindest sehr nahe an dem, was ich brauche... Jetzt fehlt nurnoch, dass ich rausfinde, wie man an diese Funktion ohne GUI kommt *such, such such*

EDIT: Ich habe gefühlte 30 Mailinglisten- und Forenbeiträge gefunden in denen genau danach gefragt wurde, aber auf die es keine Antwort gab oder bestenfalls auf tcpflow verwiesen wurde. Ich fürchte wohl, dass es dabei bleibt. Falls doch noch jemanden dazu was einfällt wäre die Anmerkung hoch willkommen...