Eu usaria tcpdump
ou ngrep
, seria bom ter a porta no switch conectado ao servidor da Web espelhada, mas, na falta disso, você pode executar ngrep
ou tcpdump
no servidor em si.
Você precisará de acesso de superusuário para executar qualquer um desses programas.
Você vai querer ler um pouco, já que obviamente sabe o que está procurando no tráfego, o ngrep permite que você selecione tráfego por regex, o que pode permitir que você escolha pacotes com melhor precisão.
ngrep -l -q -d eth0 "^POST " tcp and port 80 -O dump.file
Isso traria para você quaisquer dados HTTP POSTados para a porta 80 em eth0. Você pode escolher algo muito mais específico. Se você estiver lendo o tráfego diretamente do arquivo, você pode querer adicionar -W byline
, pois ele torna os pacotes muito mais legíveis, já que respeita as quebras de linha, para que você possa ver o pacote escrito mais logicamente (para humanos). ). -O dump.file
grava a saída da sua captura de pacotes em um arquivo. A saída pode ser tão detalhada quanto você quiser, para reproduzir os pacotes, dê uma olhada em tcpreplay