Cómo capturar todos los paquetes HTTP usando tcpdump

Question

Quiero ejecutar tcpdump con algunos parámetros (Todavía no sé qué usar). A continuación, cargue la página this stackoverflow.com.

La salida debe ser la comunicación HTTP. Más tarde quiero usarlo como un script de shell. Por lo tanto, cada vez que deseo verificar la comunicación HTTP de un sitio site.com solo puedo ejecutar script.sh site.com

La comunicación HTTP debería ser lo suficientemente simple. Como siguiendo.

GET /questions/9241391/how-to-capture-all-the-http-communication-data-using-tcp-dump 
Host: stackoverflow.com 
... 
... 

HTTP/1.1 200 OK 
Cache-Control: public, max-age=60 
Content-Length: 35061 
Content-Type: text/html; charset=utf-8 
Expires: Sat, 11 Feb 2012 15:36:46 GMT 
Last-Modified: Sat, 11 Feb 2012 15:35:46 GMT 
Vary: * 
Date: Sat, 11 Feb 2012 15:35:45 GMT 


.... 
decoded deflated data 
.... 

Ahora, ¿podría decirme qué opciones se debe utilizar con tcpdump para capturarlo.

Answer 1

Se puede hacer por ngrep

ngrep -q -d eth1 -W byline host stackoverflow.com and port 80 
    ^^  ^  ^  
     | |  |   | 
     | |  |   | 
     | |  |   v 
     | |  |   filter expression 
     | |  |   
     | |  +--> -W is set the dump format ("normal", "byline", "single", "none") 
     | | 
     | +----------> -d is use specified device instead of the pcap default 
     | 
     +-------------> -q is be quiet ("don't print packet reception hash marks") 

Answer 2

Según lo que ha mencionado, ngrep (en Unix) y Fiddler (Windows) podrían ser soluciones mejores/más fáciles.

Si es absolutamente desea utilizar tcpdump, probar las siguientes opciones

 
tcpdump -A -vvv host destination_hostname 

-A (ascii) 
-vvv (verbose output) 

Answer 3

tcpdump -i eth0 -w dump3.pcap -v 'tcp y (((ip [2: 2] - ((ip [0] & 0xf) < < 2)) - ((TCP [12] & 0xf0) >> 2)) = 0)'

s ee http://www.tcpdump.org/manpages/tcpdump.1.html