Автор Тема: tcpdump трафик  (Прочетена 10085 пъти)

consolebg

  • Напреднали
  • *****
  • Публикации: 14
    • Профил
tcpdump трафик
« -: Feb 15, 2023, 21:28 »
Здравейте колеги имам следното питане,

Понеже не съм много на ТИ с tcpdump и какво ли не пробвах ама все не намирам това което ми трябва. А това което ми трябва е следното:

Искам да правя мониторинг на трафик който идва към apache на порт 80 или 443 един от двата на тоя етап не е от значение порта.

Това което ме интересува конкретно е че някой е влязъл в сайта, най вече IP, User Agent и timesptamp. Знам че като хитнеш сайта ти правиш реално повече от една заявка, заради зареждане на различни ресурси като картинки css и прочие. Мен ме интересува че дадено Ip в еди колко си часа е с еди кой си User Agent е отворил сайта нищо повече.

Има ли как да го формулирам това с tcpdump ?

Благодаря предварително  [_]3
Активен

spec1a

  • Напреднали
  • *****
  • Публикации: 3852
    • Профил
Re: tcpdump трафик
« Отговор #1 -: Feb 15, 2023, 21:39 »
   В днешно време почти целият уеб трафик е https ,
с tcpdump няма как да видиш User Agent -а..

   Използвай логовете на сървъра,който ползваш ,там би трябвало
да има достатъчно информация.
   Можеш да сетнеш в основния конфиг файл (В зависимост от OC:
httpd.conf или apache2.conf)  LogLevel да ти дава повече инфо.
« Последна редакция: Feb 15, 2023, 21:46 от spec1a »
Активен

jet

  • Напреднали
  • *****
  • Публикации: 3472
  • Distribution: debian
  • Window Manager: kde
    • Профил
Re: tcpdump трафик
« Отговор #2 -: Feb 16, 2023, 01:31 »
access.log е по дифолт лога
Активен

..⢀⣴⠾⠻⢶⣦⠀
  ⣾⠁⢠⠒⠀⣿⡁
  ⢿⡄⠘⠷⠚⠋
  ⠈⠳⣄⠀⠀⠀⠀  Debian, the universal operating system.

Naka

  • Напреднали
  • *****
  • Публикации: 3395
    • Профил
Re: tcpdump трафик
« Отговор #3 -: Feb 16, 2023, 02:23 »
ngrep e затова, обаче ще стане само за http.   ти викаш че може  и по порт 80...тъй че ако сървера ти не ползва https с ngrep ще може да видиш юзер агента.

ngrep ползва подобен синтаксис като tcpdump

опцията  -W byline
е също много важна и много помага.
Активен

Perl - the only language that looks the same before and after encryption.

Bogo

  • Напреднали
  • *****
  • Публикации: 632
  • Distribution: Debian
  • Window Manager: cmd
    • Профил
Re: tcpdump трафик
« Отговор #4 -: Feb 19, 2023, 17:04 »
вероятно търси решение за tcpdump защото веб сървъра не е негов, за да види лог-а
кажи ми че не е така ?
Активен

live free or die хард :)

Подобни теми
Заглавие Започната от Отговора Прегледи Последна публикация
Vlan & tcpdump
Коментар
fgets 3 3961 Последна публикация Nov 05, 2004, 13:24
от fgets