使用 justniffer 网络监控

Question

工作的原因，经常需要跟踪 tcp/http 请求的详细信息，如 http 头中内容。纯从 nginx 的访问日志中获取的信息有限。后来发现有 tcp 嗅探(sniffer)软件可以用。就网络监控(嗅探)来说，tcpdump 最流行，但不好掌握。最终选择了 httpry 和 justniffer。两者貌似都师从 tcpdump，参数都有点像。

在 unbuntu14 及之前版本的安装方式：

# apt-get install add-apt-repository
# add-apt-repository ppa:oreste-notelli/ppa    （安装justniffer）
$ apt-get update
$ apt-get install justniffer

ubuntu16 的安装： 首先到 Ubuntu file repository 下载 deb 包，然后：

$ sudo apt-get install gdebi-core 
$ sudo gdebi justniffer-x.x.deb

centos 下的安装参见 这个。本人在 centos7 上装 justniffer 没成功，各种依赖包缺失。

两个软件都监控网卡的 tcp 流。

httpry

首先要确定要监控的网卡，可以使用 ip addr 命令：

# ip addr

根据命令的显示，找到网卡的 id 是 enp0s8。启动 httpry 命令：

# httpry -i enp0s8

然后所有通过网卡 enp0s8 的 http 请求和响应信息就都输出屏幕上了。httpry 的缺点是不能显示 http 协议头中内容。

justniffer

同 httpry 一样，先用 ip addr 命令找到要监控的网卡，如 enp0s8。然后执行：

# justniffer -i enp0s8 -r

-r 参数会使 http 请求和响应的完整信息输出到屏幕上，包括 http 头的信息。这就是 justniffer 比 httpry 强的地方。 如果仅想监视 80 端口，则：

# justniffer -i enp0s8 -r -p "port 80"

centos7.3 下编译

$ git clone https://github.com/onotelli/justniffer.git
$ cd justniffer
$ yum install gcc-c++ libpcap libpcap-devel boost boost-devel
$ ./configure
$ make
$ make install