来源:未知 时间:2014-11-25 13:15 作者:xxadmin 阅读:次
[导读] tshark(wireshark)抓包工具是一个非常不错的linux中常用的工具,相比GUI工具可以实现一些自动化,譬如把某些关注的数据抓起下来存放到文本中,下面我们一起来看看tshark(wireshark)工具使用例...
tshark(wireshark)抓包工具是一个非常不错的linux中常用的工具,相比GUI工具可以实现一些自动化,譬如把某些关注的数据抓起下来存放到文本中,下面我们一起来看看tshark(wireshark)工具使用例子。 在Linux下,当我们需要抓取网络数据包分析时,通常是使用tcpdump抓取网络raw数据包存到一个文件,然后下载到本地使用wireshark界面网络分析工具进行网络包分析。 最近才发现,原来wireshark也提供有Linux命令行工具-tshark。tshark不仅有抓包的功能,还带了解析各种协议的能力。下面我们以两个实例来介绍tshark工具。 1、安装方法,代码如下:
2、实时打印当前http请求的url(包括域名),代码如下:
下面介绍参数含义: -s 512 :只抓取前512个字节数据 -i eth0 :捕获eth0网卡 -n :禁止网络对象名称解析 -f 'tcp dst port 80' :只捕捉协议为tcp,目的端口为80的数据包 -R 'http.host and http.request.uri' :过滤出http.host和http.request.uri -T fields -e http.host -e http.request.uri :打印http.host和http.request.uri -l :输出到标准输出 3、实时打印当前mysql查询语句 tshark -s 512 -i eth0 -n -f 'tcp dst port 3306' -R 'mysql.query' -T fields -e mysql.query 下面介绍参数含义: -s 512 :只抓取前512个字节数据 -i eth0 :捕获eth0网卡 -n :禁止网络对象名称解析 -f 'tcp dst port 3306' :只捕捉协议为tcp,目的端口为3306的数据包 -R 'mysql.query' :过滤出mysql.query -T fields -e mysql.query :打印mysql查询语句 tshark使用-f来指定捕捉包过滤规则,规则与tcpdump一样,可以通过命令man pcap-filter来查得。 tshark使用-R来过滤已捕捉到的包,与界面板wireshark的左上角Filter一致。 例子代码如下:
上边的demo为抓取跟ip地址为172.17.195.56,端口为80(http默认端口)的机器的通信,tshark会提供包解析之后的xml数据,程序将其存储到文件。注意部分数据是需要由hex字符串转换为真实字符串的,另外还可能会有需要gzip解压。 |
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com