j'utilise tshark sur un serveur sans graphique et je bloque sur un petit=20
soucis =E7a dois =EAtre tellement simple que c'est pas facilement trouvab=
le=20
apr=E8s de nombreuses recherches.
j'aimerai r=E9cup=E9rrer l'host de ce qu'il capture et pas l'IP qui m=E8n=
e a=20
rien sans l'host pour les noms de domaine
un exemple
0.020544 192.168.2.2 -> 173.194.34.31 HTTP GET /blablabla.test HTTP/1.=
1
alors que j'aimerai qu'il me r=E9cup=E8re google.fr ce que j'ai saisie da=
ns=20
mon navigateur.
est-ce possible ?
J=E9r=E9my
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/4FA8D623.7020305@prego-network.net
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Stephane Bortzmeyer
On Tue, May 08, 2012 at 10:15:31AM +0200, prego jérémy wrote a message of 32 lines which said:
0.020544 192.168.2.2 -> 173.194.34.31 HTTP GET /blablabla.test HTTP/1.1
alors que j'aimerai qu'il me récupère google.fr ce que j'ai saisie dans mon navigateur.
Je ne crois pas que tshark puisse faire cela : il faudrait qu'il fasse une corrélation entre la requête DNS (qui a pu être faite longtemps avant) et la requête HTTP.
En prime, le résultat de la requête DNS était peut-être dans le cache interne du navigateur et donc le réseau n'a rien vu passer.
D'ailleurs, une telle information serait trompeuse (passage par un relais HTTP, par exemple). Le mieux est tout simplement de demander l'affichage complet, avec -V. On voit alors le nom demandé, dans le champ Host:
Frame 4 ... Hypertext Transfer Protocol GET / HTTP/1.1rn [Expert Info (Chat/Sequence): GET / HTTP/1.1rn] [Message: GET / HTTP/1.1rn] [Severity level: Chat] [Group: Sequence] Request Method: GET Request URI: / Request Version: HTTP/1.1 User-Agent: curl/7.21.0 (i486-pc-linux-gnu) libcurl/7.21.0 OpenSSL/0.9.8o zlib/1.2.3.4 libidn/1.15 libssh2/1.2.6rn Host: www.google.frrn Accept: */*rn rn
Sinon, -Nn pour résoudre les adresses en noms mais cela ne donne pas le résultat que vous voulez :
0.042608 ludwigVII.sources.org -> wg-in-f94.1e100.net HTTP GET / HTTP/1.1
173.194.34.31 => par03s02-in-f31.1e100.net. 1e100.net est Google, comme tous les matheux l'ont vu.
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
On Tue, May 08, 2012 at 10:15:31AM +0200,
prego jérémy <jeremy@prego-network.net> wrote
a message of 32 lines which said:
0.020544 192.168.2.2 -> 173.194.34.31 HTTP GET /blablabla.test HTTP/1.1
alors que j'aimerai qu'il me récupère google.fr ce que j'ai saisie
dans mon navigateur.
Je ne crois pas que tshark puisse faire cela : il faudrait qu'il fasse
une corrélation entre la requête DNS (qui a pu être faite longtemps
avant) et la requête HTTP.
En prime, le résultat de la requête DNS était peut-être dans le cache
interne du navigateur et donc le réseau n'a rien vu passer.
D'ailleurs, une telle information serait trompeuse (passage par un
relais HTTP, par exemple). Le mieux est tout simplement de demander
l'affichage complet, avec -V. On voit alors le nom demandé, dans le
champ Host:
Frame 4
...
Hypertext Transfer Protocol
GET / HTTP/1.1rn
[Expert Info (Chat/Sequence): GET / HTTP/1.1rn]
[Message: GET / HTTP/1.1rn]
[Severity level: Chat]
[Group: Sequence]
Request Method: GET
Request URI: /
Request Version: HTTP/1.1
User-Agent: curl/7.21.0 (i486-pc-linux-gnu) libcurl/7.21.0 OpenSSL/0.9.8o zlib/1.2.3.4 libidn/1.15 libssh2/1.2.6rn
Host: www.google.frrn
Accept: */*rn
rn
Sinon, -Nn pour résoudre les adresses en noms mais cela ne donne pas
le résultat que vous voulez :
0.042608 ludwigVII.sources.org -> wg-in-f94.1e100.net HTTP GET / HTTP/1.1
173.194.34.31 => par03s02-in-f31.1e100.net. 1e100.net est Google,
comme tous les matheux l'ont vu.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20120508160924.GA4376@sources.org
On Tue, May 08, 2012 at 10:15:31AM +0200, prego jérémy wrote a message of 32 lines which said:
0.020544 192.168.2.2 -> 173.194.34.31 HTTP GET /blablabla.test HTTP/1.1
alors que j'aimerai qu'il me récupère google.fr ce que j'ai saisie dans mon navigateur.
Je ne crois pas que tshark puisse faire cela : il faudrait qu'il fasse une corrélation entre la requête DNS (qui a pu être faite longtemps avant) et la requête HTTP.
En prime, le résultat de la requête DNS était peut-être dans le cache interne du navigateur et donc le réseau n'a rien vu passer.
D'ailleurs, une telle information serait trompeuse (passage par un relais HTTP, par exemple). Le mieux est tout simplement de demander l'affichage complet, avec -V. On voit alors le nom demandé, dans le champ Host:
Frame 4 ... Hypertext Transfer Protocol GET / HTTP/1.1rn [Expert Info (Chat/Sequence): GET / HTTP/1.1rn] [Message: GET / HTTP/1.1rn] [Severity level: Chat] [Group: Sequence] Request Method: GET Request URI: / Request Version: HTTP/1.1 User-Agent: curl/7.21.0 (i486-pc-linux-gnu) libcurl/7.21.0 OpenSSL/0.9.8o zlib/1.2.3.4 libidn/1.15 libssh2/1.2.6rn Host: www.google.frrn Accept: */*rn rn
Sinon, -Nn pour résoudre les adresses en noms mais cela ne donne pas le résultat que vous voulez :
0.042608 ludwigVII.sources.org -> wg-in-f94.1e100.net HTTP GET / HTTP/1.1
173.194.34.31 => par03s02-in-f31.1e100.net. 1e100.net est Google, comme tous les matheux l'ont vu.
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
prego jérémy
Le 08/05/2012 18:09, Stephane Bortzmeyer a écrit :
On Tue, May 08, 2012 at 10:15:31AM +0200, prego jérémy wrote a message of 32 lines which said:
0.020544 192.168.2.2 -> 173.194.34.31 HTTP GET /blablabla.test HTT P/1.1
alors que j'aimerai qu'il me récupère google.fr ce que j'ai saisie dans mon navigateur.
Je ne crois pas que tshark puisse faire cela : il faudrait qu'il fasse une corrélation entre la requête DNS (qui a pu être faite longtem ps avant) et la requête HTTP.
En prime, le résultat de la requête DNS était peut-être dans le cache interne du navigateur et donc le réseau n'a rien vu passer.
D'ailleurs, une telle information serait trompeuse (passage par un relais HTTP, par exemple). Le mieux est tout simplement de demander l'affichage complet, avec -V. On voit alors le nom demandé, dans le champ Host:
Frame 4 ... Hypertext Transfer Protocol GET / HTTP/1.1rn [Expert Info (Chat/Sequence): GET / HTTP/1.1rn] [Message: GET / HTTP/1.1rn] [Severity level: Chat] [Group: Sequence] Request Method: GET Request URI: / Request Version: HTTP/1.1 User-Agent: curl/7.21.0 (i486-pc-linux-gnu) libcurl/7.21.0 OpenSSL /0.9.8o zlib/1.2.3.4 libidn/1.15 libssh2/1.2.6rn Host: www.google.frrn Accept: */*rn rn
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Le 08/05/2012 18:09, Stephane Bortzmeyer a écrit :
On Tue, May 08, 2012 at 10:15:31AM +0200,
prego jérémy<jeremy@prego-network.net> wrote
a message of 32 lines which said:
0.020544 192.168.2.2 -> 173.194.34.31 HTTP GET /blablabla.test HTT P/1.1
alors que j'aimerai qu'il me récupère google.fr ce que j'ai saisie
dans mon navigateur.
Je ne crois pas que tshark puisse faire cela : il faudrait qu'il fasse
une corrélation entre la requête DNS (qui a pu être faite longtem ps
avant) et la requête HTTP.
En prime, le résultat de la requête DNS était peut-être dans le cache
interne du navigateur et donc le réseau n'a rien vu passer.
D'ailleurs, une telle information serait trompeuse (passage par un
relais HTTP, par exemple). Le mieux est tout simplement de demander
l'affichage complet, avec -V. On voit alors le nom demandé, dans le
champ Host:
Frame 4
...
Hypertext Transfer Protocol
GET / HTTP/1.1rn
[Expert Info (Chat/Sequence): GET / HTTP/1.1rn]
[Message: GET / HTTP/1.1rn]
[Severity level: Chat]
[Group: Sequence]
Request Method: GET
Request URI: /
Request Version: HTTP/1.1
User-Agent: curl/7.21.0 (i486-pc-linux-gnu) libcurl/7.21.0 OpenSSL /0.9.8o zlib/1.2.3.4 libidn/1.15 libssh2/1.2.6rn
Host: www.google.frrn
Accept: */*rn
rn
ben voila, ,juste ce qu'il falais !
merci !
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/4FA94A7E.7040606@prego-network.net
Le 08/05/2012 18:09, Stephane Bortzmeyer a écrit :
On Tue, May 08, 2012 at 10:15:31AM +0200, prego jérémy wrote a message of 32 lines which said:
0.020544 192.168.2.2 -> 173.194.34.31 HTTP GET /blablabla.test HTT P/1.1
alors que j'aimerai qu'il me récupère google.fr ce que j'ai saisie dans mon navigateur.
Je ne crois pas que tshark puisse faire cela : il faudrait qu'il fasse une corrélation entre la requête DNS (qui a pu être faite longtem ps avant) et la requête HTTP.
En prime, le résultat de la requête DNS était peut-être dans le cache interne du navigateur et donc le réseau n'a rien vu passer.
D'ailleurs, une telle information serait trompeuse (passage par un relais HTTP, par exemple). Le mieux est tout simplement de demander l'affichage complet, avec -V. On voit alors le nom demandé, dans le champ Host:
Frame 4 ... Hypertext Transfer Protocol GET / HTTP/1.1rn [Expert Info (Chat/Sequence): GET / HTTP/1.1rn] [Message: GET / HTTP/1.1rn] [Severity level: Chat] [Group: Sequence] Request Method: GET Request URI: / Request Version: HTTP/1.1 User-Agent: curl/7.21.0 (i486-pc-linux-gnu) libcurl/7.21.0 OpenSSL /0.9.8o zlib/1.2.3.4 libidn/1.15 libssh2/1.2.6rn Host: www.google.frrn Accept: */*rn rn
