使用 tcpdump 的 http 标头的人类可读格式

这是我想出的用于显示请求和响应 HTTP 标头的单行代码tcpdump（它也适用于您的情况）：

sudo tcpdump -A -s 10240 'tcp port 4080 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)' | egrep --line-buffered "^........(GET |HTTP\/|POST |HEAD )|^[A-Za-z0-9-]+: " | sed -r 's/^........(GET |HTTP\/|POST |HEAD )/\n\1/g'

它限制在 10Kb 处截断数据包并且只知道 GET、POST 和 HEAD 命令，但在大多数情况下这应该足够了。

编辑：修改它以消除每一步的缓冲区，使其更具响应性。不过现在需要 Perl 和 stdbuf，所以如果您没有这些，请使用原始版本： 编辑：将脚本端口目标从 80 更改为 4080，以实际监听已经通过 apache 的流量，而不是直接到达端口的外部流量80:

sudo stdbuf -oL -eL /usr/sbin/tcpdump -A -s 10240 "tcp port 4080 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)" | egrep -a --line-buffered ".+(GET |HTTP\/|POST )|^[A-Za-z0-9-]+: " | perl -nle 'BEGIN{$|=1} { s/.*?(GET |HTTP\/[0-9.]* |POST )/\n$1/g; print }'

一些解释：

• sudo stdbuf -oL -eL 使 tcpdump 运行行缓冲
• tcpdump 魔术过滤器在此处详细说明：https ://stackoverflow.com/questions/11757477/understanding-tcpdump-filter-bit-masking
• grep 正在寻找任何带有 GET、HTTP/ 或 POST 的行；或任何看起来像标题的行（字母和数字后跟冒号）
• BEGIN{$|=1}导致 perl 运行行缓冲
• s/.*?(GET |HTTP/[0-9.]* |POST )/\n$1/g在每个新请求或响应开始之前添加一个换行符

您可以通过使用获得接近您想要的东西-A，例如

E....c@.@...
.....Ng.d.P..Ch.).....s.......
.A...u.BHEAD / HTTP/1.1
User-Agent: curl/7.29.0
Host: www.google.com
Accept: */*

请记住使用-s 0以确保您获得整个数据包。

或者，您可以使用wireshark交互方式查看标题。

尝试使用http://justniffer.sourceforge.net/ 它是更好的工具或带有“跟随 TCP 流”选项的 Wireshark，有比 tcpdump 更好的选项来查看标头（请求/响应）