主页 / server / 问题 / 907030
Accepted
nowthatsamatt
Asked: 2018-04-11 12:31:37 +0800 CST

如何根据缺少的标头过滤 tcpdump 结果?

  • 772

我的 HAProxy 将“X-Proto: SSL”作为标头添加到通过 HTTPS 的请求。

我想使用 tcpdump 查看所有没有“X-Proto: SSL”标头的请求的“Host:”标头。

这是一个示例请求的样子(使用 sudo tcpdump -AA port 80 捕获):

14:06:48.834405 IP x.x.x.x.39989 > hostname.com.http: Flags [P.], seq 1:809, ack 1, win 58, length 808: HTTP: GET /req/?key=value&timeid=52989238 HTTP/1.1
..>........
...
.......GET /req/?key=value&timeid=52989238 HTTP/1.1
Host: r457.hostname.com
Origin: https://originhostname.com
User-Agent: Mozilla/5.0 (Linux; Android 8.1.0; TA-1044 Build/OPR1; wv) AppleWebKit/537 (KHTML, like Gecko) Version/4.0 Chrome/65 Mobile Safari/53;]
Accept: */*
Referer: https://originhostname.com/2018/
Accept-Encoding: gzip, deflate
Accept-Language: es-ES,es-MX;q=0.9,en-US;q=0.8
Cookie: cookieid
X-Requested-With: com.request.lite
X-Proto: SSL
X-Forwarded-For: x.x.x.x

我想排除这个,只看到以下输出:

Host: r457.hostname.com

如果“X-Proto: SSL”标头存在。

networking

1 个回答

  1. Best Answer

    这是我想出的一个非常老套的解决方案,但我仍然对 The Right Way™ 感兴趣:

    cd /mnt
mkdir -p ngrep/no-ssl
cd ngrep/
sudo ngrep -qW byline port 80 > all-traffic
awk -v RS= '{print > ("request-" NR ".ngrep")}' all-traffic
mv all-traffic ../
for x in $(ls); do if [ $(grep -c 'X-Proto: SSL' $x) -eq 0 ]; then mv $x no-ssl/; fi; done
cd no-ssl/
for x in $(ls); do grep 'Host:' $x; done|sort|uniq
    • 0

相关问题