tcpdump: как получить grepable вывод?

Я пытаюсь устранить проблему, когда на устройстве доступно только tcpdump. Я хочу использовать tcpdump для фильтрации веб-трафика и отображения только трафика, содержащего определенные строки.

Я делаю следующее:

tcpdump -nei eth0 -X | grep "something interesting"

Вывод представляет собой hexview с 16 байтами pr строки. Я не могу получить эти данные, поскольку данные представлены в несколько строк.

Есть ли способ для tcpdump представить захваченные данные в одной строке? Это позволило бы использовать grep для поиска интересных пакетов.

Для таких, как вы, которые не могут использовать ngrep, вот как использовать, awkчтобы сделать tcpdumpвывод содержимого пакета grepable.

Сначала приведем пример выходных данных, предоставленных tcpdump -x, чтобы представить задачу впереди:

$ tcpdump -xr dump.pcap 2>/dev/null
12:04:59.590664 IP 10.17.14.93.51009 > 239.194.1.9.51009: UDP, length 370
        0x0000:  4500 018e 0000 4000 fa11 7625 0a11 0e5d
        0x0010:  efc2 0109 c741 c741 017a 6f28 1120 2020
        0x0020:  3337 3030 3039 3031 3835 3635 3430 3130
...

И это копируемый и вставляемый awkскрипт, к которому вы можете направить вывод

awk '{ if (match($0, /^[0-9]/, _)) { printf (NR == 1 ? "%s " : "\n%s "), $0; fflush() } else { sub(/^\s+0x[0-9a-z]+:\s+/, " "); gsub(" ", ""); printf "%s", $0 } } END { print ""; fflush() }'

чтобы получить следующий, grepable вывод

12:04:59.590664 IP 10.17.14.93.51009 > 239.194.1.9.51009: UDP, length 370 4500018e00004000fa1176250a...
12:04:59.590798 IP 10.17.14.113.51011 > 239.194.1.11.51011: UDP, length 370 4500018e00004000fa11760f...
...

Ниже приведена прокомментированная версия вышеуказанного скрипта:

awk '
{
    # if this is a header line
    if (match($0, /^[0-9]/, _)) 
    {
        # print the header, but:

        # except for the first line,
        # we need to insert a newline,
        # as the preceding data lines
        # have been stripped of theirs

        # we also append a space to
        # separate header info from the
        # data that will get appended
        printf (NR == 1 ? "%s " : "\n%s "), $0
        # enforce line-buffering
        fflush()
    }
    # otherwise it is a data line
    else 
    {
        # remove the data address
        sub(/^\s+0x[0-9a-z]+:\s+/, " ");
        # remove all spaces
        gsub(" ", "");
        # print w/o newline
        printf "%s", $0 
    }
}
END
{
    # print final newline, as
    # the preceding data lines
    # have been stripped of theirs
    print ""
    # enforce line-buffering
    fflush()
}'

Из tcpdumpсправочной страницы:

-A      Print each packet (minus its link level header) in ASCII.  Handy
        for capturing web pages.

Убедитесь, что вы также используете -s 0опцию, чтобы убедиться, что весь пакет отображается.

Вы можете посмотреть на ngrepкоманду:

ngrep -W single -d eth0 'regex to match' 'port 80'

Где:

• -W single определяет форматирование одной строки
• regex to match означает только сбросить пакеты, содержащие определенную строку.
• 'port 80' это фильтр pcap, который только прослушивает пакеты от или до порта 80

Причиной вашего вывода является шестнадцатеричный -Xфлаг. Пытаться:

tcpdump -ni eth1 | grep something_interesting

Вы получите дамп читаемый вывод прямо в кли.

Я не мог заставить скрипт awk делать то, что хотел, и ngrep не работал на Ethernet через USB, поэтому я написал небольшую программу на C для соединения строк, выводимых tcpdump, чтобы они были grepable. Это на https://gitlab.com/dargaud/TcpDumpJoin