justniffer实战应用

在上一篇blog《justniffer使用指南》中讲了justniffer的基本使用,本篇blog将分享一下justniffer在生产环境中的具体使用。下面就实际环境中的使用举一些例子加以说明。

0x01 输出日志格式

首先要讲到的就是justniffer的日志输出日志格式,因为这个功能太实用而且强大了。

使用参数:-l or –log-format=<format>

基本示例输出Example: justniffer -i eth0 -l “\”%request.line\”%tab%response.time”

其输出的日志格式如下形式:

“POST /v2/rss/network/oreste.notelli?src=ffbmext2.1.034 HTTP/1.1” 0.623382
“GET /man_page_howto.html HTTP/1.1”       0.024437

0x02 日志格式关键字

由于涉及到的关键字较多,这里就不一一列举说明,详细见官方文档

0x03 时间戳格式化表示

justniffer所采用的时间戳格式采用标准的strtime格式

详细相关格式化参数见官方文档

0x04 实例使用教程

实例1:

监听eth0网卡,并直接打印出标准的access_log格式日志,输出日志如下:

justniffer_access_log

实例2:

添加响应时间,其他格式如实例1,输出格式如下:

justniffer_access_log2

实例3:

全包数据捕获(添加-u或者-x参数编码不可打印的字符)。输出格式如下:

justniffer_access_log3

实例4:

定义一个完全自定义的日志格式,输出格式如下:

justniffer_access_log4

实例5:

tcpdump 的命令格式: tcpdump -w /tmp/file.cap -s0 -i ath0

从一个.pcap数据包中分析和处理。注意:捕获文件必须与整个数据包捕捉无限snaplen用于执行。justniffer可以工作在整个包pcap文件。

实例6:

采用多个关键词可以构造更加自定义化的输出格式,上面的配置参数输出如下:

justniffer_access_log5

也可以指定时间戳格式:

jn-2

或者当%request.header.host  的之不存在时打印出“NoHostFound”字符串:

jn-3

一些关键词都有自己的格式,可以使用(-n)参数设置未识别出来的字符串。一般是:%request.header.[headername],当然如果存在“not found”字符串时,将会覆盖掉-n参数:

输出如下:

jn-4

实例7:

捕获http数据报文。使用-p参数可以让你通过兼容tcpdump过滤语法的格式进行自定义输出。例如:

实例8:

使用-e参数执行扩展脚本。这样的话,justniffer的输出将会重定向:

myscript.sh脚本内容如:

实例9:

捕获SMTP数据报文,如:

jn-6

实例10:

通过常用关键词记录类如日志记录,提供基于HTTP协议的测量接线时间,服务性能概述响应时间,TCP连接超时,保持请求等:

jn-8

实例11:

通过正则匹配进行关键字查找。例如对URL的正则:[^\s]*[\s]*([^\s]*), 基于http的正文内容的正则:Content-Type:(\s)*([^\r]*)

jn-10

 

 



这篇博文由 s0nnet 于2016年05月26日发表在 Kali Linux, TCP/IP, 安全工具, 安全资讯, 网络安全 分类下, 通告目前不可用,你可以至底部留下评论。
如无特别说明,独木の白帆发表的文章均为原创,欢迎大家转载,转载请注明: justniffer实战应用 | 独木の白帆
关键字: ,

justniffer实战应用:等您坐沙发呢!

发表评论

快捷键:Ctrl+Enter