Captura de tráfico por nombre de host HTTP, no por IP, a través de WireShark

6

Estoy tratando de filtrar el tráfico solo a un nombre de host HTTP dado. Tengo un servidor, y tengo docenas de sitios web en él. Solo tiene una interfaz y una dirección IP. Por lo tanto, el filtrado a mi dirección IP no es útil aquí.

Di por ejemplo que tengo a.com , b.com , c.com , ... z.com sitios en mi servidor, y solo necesito capturar el tráfico de a.com , incluso a veces una ruta específica de ese sitio, como a.com/register .

Tenga en cuenta que no estoy hablando Filtros de pantalla , más bien necesito aplicar un Filtro de captura .

¿Cómo puedo hacer eso? Ninguno de estos filtros funciona para mí:

tcp port 80 and host a.com
host a.com
tcpdump host a.com
Saeed Neamati
fuente

Respuestas:

5

Filtros de captura no puedes hacer lo que quieres Mostrar filtros sin embargo, puede. Utilizando la Filtros HTTP , Puedes hacerlo: http.host == "example.com".

Daniel B
fuente
El problema con el filtro de pantalla es que, el archivo de registro se vuelve REALMENTE REALMENTE ENORME después de una pequeña cantidad de captura. Porque los filtros de visualización solo muestran un subconjunto de lo que se ha capturado. Por otro lado, los filtros de captura solo capturan lo que es necesario. ¿Hay alguna forma de capturar el tráfico a un sitio web solamente? Por ejemplo, ¿tenemos acceso a cosas como el nombre del proceso u otras cosas para ayudar a filtrar a un solo sitio web?
Saeed Neamati
"Por ejemplo, ¿tenemos acceso a cosas como el nombre del proceso u otras cosas para ayudar a filtrar a un solo sitio web?" No, no lo hacemos.
@SaeedNeamati Por supuesto, todavía puede usar los filtros de visualización y captura. Si eso no es suficiente, estás fuera de suerte. La biblioteca pcap no analiza las cargas útiles, solo mira los encabezados.
Daniel B
Pero @DanielB, en el sitio web de WireShark, afirma que los filtros de captura tienen la misma sintaxis que tcpdump utilidad. Y ahí tiene un enlace a esta página , que muestra algunos ejemplos de cómo filtrar, y nuevamente en esa página puede ver este ejemplo: * Para imprimir todos los paquetes que llegan o salen de la puesta del sol: tcpdump host sundown
Saeed Neamati
Sí. En ninguna parte indica que esto esté relacionado con HTTP de ninguna manera. Porque no lo es. Simplemente coincide con los encabezados de IP (u otro protocolo). Los paquetes HTTP son paquetes TCP regulares. No tienen encabezados especiales que puedas igualar.
Daniel B