nginx：转储HTTP请求以进行调试

• Ubuntu 10.04.2
• nginx 0.7.65

我看到一些奇怪的HTTP请求进入我的Nginx服务器。

为了更好地了解发生了什么，我想为此类查询转储整个HTTP请求数据。（即，将所有请求标头和正文转储到我可以读取的位置。）

我可以用Nginx做到吗？或者，是否有一些HTTP服务器可以让我直接执行此操作，我可以通过nginx代理这些请求？

更新：请注意，此框有一堆正常的流量，我想避免捕获所有低级别的流量（例如使用tcpdump），然后再将其过滤掉。

我认为，首先在重写规则中过滤良好的流量会容易得多（幸运的是，在这种情况下，我可以很轻松地编写一个流量），然后仅处理虚假流量。

而且我不想将虚假的流量引导到另一个盒子以便能够用它捕获它tcpdump。

更新2：为提供更多详细信息，伪请求foo在其GET查询中具有名为（例如）的参数（该参数的值可以不同）。保证良好的请求永远不会使用此参数。

如果我可以对此进行过滤tcpdump或ngrep以某种方式进行过滤-没问题，我将使用它们。

根据需要调整前/后行（-B和-A参数）的数量：

tcpdump -n -S -s 0 -A 'tcp dst port 80' | grep -B3 -A10 "GET /url"

这样一来，您就可以在包装盒上获得所需的HTTP请求，而不必生成一个巨大的PCAP文件，而必须将其卸载到其他地方。

请记住，BPF过滤器永远都不是精确的，如果有大量数据包流过任何盒子，则BPF可以并且将会丢弃数据包。

我不确切知道您转储请求的意思，但是您可以使用tcpdump和/或Wireshark分析数据：

# tcpdump port 80 -s 0 -w capture.cap

您可以使用wireshark打开文件并查看服务器之间的对话。

如果将安装了mod_php的请求代理到Apache，则可以使用以下PHP脚本转储请求：

<?php
$pid = getmypid();
$now = date('M d H:i:s');
$fp = fopen('/tmp/intrusion.log', 'a');

if (!function_exists('getallheaders')) 
{ 
    function getallheaders() 
    { 
           $headers = ''; 
       foreach ($_SERVER as $name => $value) 
       { 
           if (substr($name, 0, 5) == 'HTTP_') 
           { 
               $headers[str_replace(' ', '-', ucwords(strtolower(str_replace('_', ' ', substr($name, 5)))))] = $value; 
           } 
       } 
       return $headers; 
    } 
} 

function ulog ($str) {
    global $pid, $now, $fp;
    fwrite($fp, "$now $pid {$_SERVER['REMOTE_ADDR']} $str\n");
}

foreach (getallheaders() as $h => $v) {
    ulog("H $h: $v");
}
foreach ($_GET as $h => $v) {
    ulog("G $h: $v");
}
foreach ($_POST as $h => $v) {
    ulog("P $h: $v");
}
fclose($fp);

请注意，由于您使用的是nginx，因此$_SERVER['REMOTE_ADDR']可能毫无意义。您必须通过将该真实IP传递给Apache proxy_set_header X-Real-IP $remote_addr;，然后可以使用它（或仅依靠通过进行记录getallheaders()）。