¿Cuál es la forma más fácil de husmear datos de tráfico TCP en Linux?

Actualización:

Como señala Michal en los comentarios: A partir de la versión 1.3 de tcpflow se utiliza la opción -e para especificar el nombre del escáner. Por lo que se imprime el error “Nombre de escáner inválido ‘8983’”. El comando correcto es

sudo tcpflow -i any -C -J port 1234

(también -J ha sido cambiado a -g en la última versión)

• *

Gracias a yves por indicarme tcpflow “. Aquí está la línea de comandos:

tcpflow -i any -C -e port 1234 # as root, or with sudo

Esto hace todo lo que quiero

• muestra los datos byte a byte tal y como entran
• no muestra ningún otro metadato
• escucha en todas las interfaces (por lo que captura los datos que vienen de dentro y fuera de la máquina)

El ”-C“ le dice que vuelque a la consola en lugar de a un archivo. El ”-e“ habilita los colores para que cliente->servidor y servidor->cliente sean visualmente distintos.

He instalado tcpflow simplemente haciendo

sudo apt-get install tcpflow

socat es la herramienta que usted pide. Puede actuar como un proxy:

$socat -v TCP-LISTEN:4444 TCP:localhost:1234
hello

entonces su aplicación debe conectarse al puerto 4444 en lugar de conectarse directamente al 1234

La opción -v es para que socat imprima todo lo que recibe en el error estándar (stderr).

Actualización:

Si socat no está disponible en su máquina, aún puede emularlo así con netcat:

$netcat -l -p 4444 | tee output_file | netcat localhost 1234

advertencias: esta opción es unidireccional. la segunda instancia de netcat imprimirá cualquier respuesta de su servidor a la salida estándar. Puede seguir haciéndolo entonces:

$mkfifo my_fifo
$netcat -l -p 4444 < my_fifo | tee output_file | netcat localhost 1234 > my_fifo

Pruebe Wireshark . Es un excelente analizador de protocolos dirigido tanto a Linux como a Windows.

tcpflow es lo que quieres. Extraído de la página man:

DESCRIPCIÓN tcpflow es un programa que captura los datos transmitidos como parte de las conexiones TCP (flujos), y almacena los datos de forma conveniente para el análisis o depuración del protocolo. Un programa como tcpdump(4) muestra un resumen de los paquetes vistos en el cable, pero normalmente no almacena los datos que realmente se están transmitiendo. Por el contrario, tcpflow reconstruye los flujos de datos reales y almacena cada flujo en un archivo separado para su posterior análisis. tcpflow entiende los números de secuencia TCP y reconstruirá correctamente los flujos de datos independientemente de las retransmisiones o de la entrega fuera de orden.

tcpflow almacena todos los datos capturados en archivos que tienen nombres de la forma

192.168.101.102.02345-010.011.012.013.45103

donde el contenido del archivo anterior serían los datos transmitidos desde el host 192.168.101.102 puerto 2345, al host 10.11.12.13 puerto 45103.

Establezca una conexión desde su aplicación al servidor. Cuando la conexión está en marcha, tcpflow es capaz de capturar los datos de la misma Por ejemplo:

$ sudo tcpflow -i lo port 5555
tcpflow[3006]: listening on lo

Todos los datos se almacenarán en un archivo llamado 127.000.000.001.48842-127.000.000.001.05555.

Todavía puede redirigir esto en la salida estándar con la opción -Cs . Lea la página del manual para jugar con la expresión para afinar los paquets que quiere que tcpflow capture.

ngrep es muy bueno para esto. Toma una cadena BPF y una cadena opcional para buscar dentro de los paquetes, y luego vuelca el contenido del paquete a la pantalla en un formato bastante útil. Opcionalmente también vuelca a un archivo pcap_dump que puedes examinar más de cerca en Wireshark más tarde.

Echa un vistazo a Chaosreader . Aunque hace un poco más de lo que pides y de forma ligeramente diferente, probablemente podrías modificar el código del mismo para hacer lo que quieres.

Tal vez puedas escribir un wrapper para tcpdump, por ejemplo, que elimine toda la información redundante