通过shell脚本实现linux服务器本地自动抓包

最新推荐文章于 2024-10-09 13:49:27 发布
最新推荐文章于 2024-10-09 13:49:27 发布
阅读量1.2k 收藏 21
点赞数 17
分类专栏: 运维脚本 文章标签: 服务器 linux 运维 tcpdump
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/daidai353304610/article/details/142210195
版权

一、编写脚本

根据原文

linux tcpdump脚本实现24小时自动抓包_tcpdump设置终止时间-CSDN博客

修改调整

基本思路

auto_cap.sh(抓包启动脚本)
执行脚本后面跟随参数 start stop 即可启动关闭抓包
./auto_cap.sh [ start | stop|status ] 

#!/bin/bash

if [ ! $1 ];then
   echo "You should use command like this:"
   echo "./auto_cap.sh [start|stop|status]"
   exit 1
fi   

CAP_SCRIPT_DIR="$( cd "$( dirname "${BASH_SOURCE[0]}" )" && pwd )"

if [ ! -f $CAP_SCRIPT_DIR/config/auto_cap.config ];then
   echo "Config file not exit ,Please Check ! Script Exit ! "
   exit 1
fi
source $CAP_SCRIPT_DIR/config/auto_cap.config

DUMPPID=`ps -ef|grep "tcpdump -i $NET_IF $CAP_CONDITION"|grep pcap|awk '{print $2}'`
MAINPID=`ps -ef | grep main_dump.sh | grep -v grep |awk '{print $2}'`
STIME=`date +%F"@"%H%M%S`
DATE_DIR=`date +%F`
case $1 in 

   start)
      if  [ `crontab -l | grep monitor_dump |wc -l` -eq 0  ];then
            crontab -l > cron.conf && echo "*/15 * * * * $CAP_SCRIPT_DIR/monitor_scripts/monitor_dump.sh" >> cron.conf && crontab cron.conf && rm -f cron.conf
      else
          echo "monitor_dump crontab line is already exit"
      fi

      if  [ `crontab -l | grep monitor_disk  |wc -l` -eq 0  ];then
            crontab -l > cron.conf && echo "*/15 * * * * $CAP_SCRIPT_DIR/monitor_scripts/monitor_disk.sh" >> cron.conf && crontab cron.conf && rm -f cron.conf
      else
          echo "monitor_disk crontab line is already exit"
      fi

      if [ ! "$DUMPPID" ];then

          /usr/sbin/tcpdump -i $NET_IF $CAP_CONDITION -w $CAP_FILE_DIR/$DATE_DIR/$STIME.pcap -s 0  &
      else
         echo "Dump Already started ,TcpdumpPID is $DUMPPID,will killed"
         kill -9 $DUMPPID
         /usr/sbin/tcpdump -i $NET_IF $CAP_CONDITION -w $CAP_FILE_DIR/$DATE_DIR/$STIME.pcap -s 0  &
         echo "New Dump started"
      fi
      if [ ! "$MAINPID" ];then
 
         nohup  sh main_dump.sh  >/dev/null  2>&1 &
      else
         echo "Main_dump.sh Already started ,MAINPID is $MAINPID,will killed"
         kill -9 $MAINPID
         nohup  sh main_dump.sh  >/dev/null  2>&1 &
         echo "New Main_dump.sh started"
      fi
      echo "Cap is started"
      DUMPPID=`ps -ef|grep "tcpdump -i $NET_IF"|grep pcap|awk '{print $2}'`
      MAINPID=`ps -ef | grep main_dump.sh | grep -v grep |awk '{print $2}'`
      echo "MAINPID is $MAINPID"
      echo "TcpdumpPID is $DUMPPID"
      ;;
   stop)
      crontab -l > cron.conf &&  sed -i '/.*monitor_dump*/c\ ' cron.conf  && crontab cron.conf && rm -f cron.conf 
      crontab -l > cron.conf &&  sed -i '/.*monitor_disk*/c\ ' cron.conf  && crontab cron.conf && rm -f cron.conf 
      DUMPPID=`ps -ef|grep "tcpdump -i $NET_IF"|grep pcap|awk '{print $2}'`
      MAINPID=`ps -ef | grep main_dump.sh | grep -v grep |awk '{print $2}'`
      if [ ! "$MAINPID"  ];then
         echo  "MAINPID is null ,Do Nothing"
      else
      
         echo "MAINPID is $MAINPID Will Killed "
         kill -9 $MAINPID
      fi 
      if [ ! "$DUMPPID" ];then
         echo "TcpdumpPID is null ,Do Nothing"
      else
         echo "TcpdumpPID is $DUMPPID Will Killed"
         kill -9 $DUMPPID
      
      fi      
      echo "Cap is stopped"
      ;;
    status)
      DUMPPID=`ps -ef|grep "tcpdump -i $NET_IF"|grep pcap|awk '{print $2}'`
      MAINPID=`ps -ef | grep main_dump.sh | grep -v grep |awk '{print $2}'`
      if [ ! "$MAINPID"  ];then
         echo  "MAINPID is null , main_dump.sh stopped"
      else
         echo "MAINPID is $MAINPID,main_dump.sh is running"
      fi
      if [ ! "$DUMPPID"  ];then
         echo  "DUMPPID is null , tcpdump  stopped"
      else
         echo "TcpdumpPID is $DUMPPID,tcpdump is running"
      fi
      ;;
     *)
      echo "You should use command like this:"
      echo "./auto_cap.sh [start|stop|status]"
      ;;
esac


maindump.sh (抓包的主程序)
每隔1分钟通过死循环检测,让程序不断的去抓包;
并设定了前一个包抓完,间隔5秒,开始进行下一轮抓包,表示下一行需自定义修改抓包参数;
/cloud/autocap/capdata(存放自动抓包文件的目录)
每天的数据包放在/cloud/autocap/capdata下以日期命名的目录如:/cloud/autocap/capdata/2022-09-08,并进行压缩存储,包的命令格式为:yyyy-mm-dd@hhmmss-hhmmss.pcap.gz;其中yyyy-mm-dd表示日期,第一个hhmmss表示开始抓包的时分秒,第二个hhmmss表示抓包结束的时分秒。

#/bin/bash/

CAP_SCRIPT_DIR="$( cd "$( dirname "${BASH_SOURCE[0]}" )" && pwd )"

if [ ! -e $CAP_SCRIPT_DIR/config/auto_cap.config ];then
   echo "Config file not exit ,Please Check ! Script Exit ! "
   exit 1
fi
source $CAP_SCRIPT_DIR/config/auto_cap.config
let MAXSIZE_KB=$MAXSIZE*1000000
#echo $MAXSIZE_kb
while :


do


          STIME=`date +%F"@"%H%M%S`


          DATE_DIR=`date +%F`


          if [ ! -d $CAP_FILE_DIR/$DATE_DIR ];then


                    mkdir -p $CAP_FILE_DIR/$DATE_DIR


          fi




          DUMPPID=`ps -ef|grep "tcpdump -i $NET_IF"|grep pcap|awk '{print $2}'`


          if [ ! "$DUMPPID" ];then

             nohup  /usr/sbin/tcpdump -i $NET_IF $CAP_CONDITION -w $CAP_FILE_DIR/$DATE_DIR/$STIME.pcap -s 0 >/dev/null 2>&1  &
          fi


          sleep 1

          DUMPPID=`ps -ef|grep "tcpdump -i $NET_IF"|grep pcap|awk '{print $2}'`


          PACKSIZE=`ls -l $CAP_FILE_DIR/$DATE_DIR|grep "$STIME.pcap"|awk '{print $5}'`


          while [ "$PACKSIZE" -lt "$MAXSIZE_KB"  ];do

		
                DUMPPID=`ps -ef|grep "tcpdump -i $NET_IF"|grep pcap|awk '{print $2}'`
          	if [ ! "$DUMPPID" ];then

              		#./auto_cap.sh start
			STIME=`date +%F"@"%H%M%S`
			nohup  /usr/sbin/tcpdump -i $NET_IF $CAP_CONDITION -w $CAP_FILE_DIR/$DATE_DIR/$STIME.pcap -s 0 >/dev/null 2>&1  &
          	fi
                
		PACKSIZE=`ls -l $CAP_FILE_DIR/$DATE_DIR|grep "$STIME.pcap"|awk '{print $5}'`
                sleep 1m


          done


          kill -9 $DUMPPID


          ETIME=`date +%H%M%S`


          mv $CAP_FILE_DIR/$DATE_DIR/$STIME.pcap  $CAP_FILE_DIR/$DATE_DIR/$STIME-$ETIME.pcap


          gzip $CAP_FILE_DIR/$DATE_DIR/*.pcap


          sleep 2
                   
done


monitor_scripts目录中:
monitor_dump.sh (监控抓包脚本)
    检查自动抓包主进程是否存在,保证异常停止的情况下可以拉起maindump.sh脚本
为了保证抓包主程序能健康运行,通过crond程序来调度monitor_dump.sh;
监控抓包主程序是事正常运行,如果没有运行,则启动它;

#!/bin/bash


CAP_SCRIPT_DIR="$( cd "$( dirname "${BASH_SOURCE[0]}" )" && cd ../ && pwd )"

if [ ! -f $CAP_SCRIPT_DIR/config/auto_cap.config  ];then
   echo "Config file not exit ,Please Check ! Script Exit ! "
   exit 1;
fi
source $CAP_SCRIPT_DIR/config/auto_cap.config

DUMPPID=`ps -ef|grep "tcpdump -i $NET_IF"|grep pcap|awk '{print $2}'`
MAINPID=`ps -ef | grep main_dump.sh | grep -v grep |awk '{print $2}'`

#check main programme status
#if [ ! "$MAINPID"  ] || [ ! "$DUMPPID" ];then
if [ ! "$MAINPID"  ];then

     nohup  sh $CAP_SCRIPT_DIR/main_dump.sh  >/dev/null  2>&1 &         
fi

monitor_disk.sh(监控硬盘空间)

监控磁盘的空闲空间,当磁盘的使用率大于等于70%时(可设置),会自动删除最早一天抓到的所在数据包,以保证磁盘的空闲空间;

抓包和磁盘监控脚本会在抓包启动后自动添加到crontab的定时任务中 默认为15分钟检查一次,可以根据实际情况修改

#/bin/bash/


CAP_SCRIPT_DIR="$( cd "$( dirname "${BASH_SOURCE[0]}" )" && cd ../ && pwd )"

if [ ! -f $CAP_SCRIPT_DIR/config/auto_cap.config  ];then
   echo "Config file not exit ,Please Check ! Script Exit ! "
   exit 1;
fi
source $CAP_SCRIPT_DIR/config/auto_cap.config

position=`df -h | grep Filesystem | awk  '{for( i=1;i<=NF;i++) if( $i~/Use%/) print i}'`

FREEDISK=`df -h|grep  "$DISK_PATH$"|awk -v pos=$position '{print $pos}'|awk -F % '{print $1}'`


HEADMOST=`ls -l $CAP_FILE_DIR |grep ^d|awk '{print $NF}'|sort|head -n 1`



#check free disk status 

if [ "$FREEDISK" -ge "70" ];then


          rm -rf $CAP_FILE_DIR/"$HEADMOST"
          
fi

二、部署脚本

1.把 autocap.tar.gz 上传到/cloud(其他目录也可以,一般建议单独分区的目录且空间较大)

2.tar -zxvf autocap_2.1.tar.gz 解压 

ll 查看脚本目录结构

 脚本目录及参数介绍

auto_cap.config 配置自动抓包脚本的一些参数


#抓包文件保存路径(默认为脚本路径下无需修改)
CAP_FILE_DIR=$CAP_SCRIPT_DIR/capdata

#配置文件路径(默认为脚本路径无需修改)
CAP_CONFIG=$CAP_SCRIPT_DIR/config

#抓包过滤网卡 例如(tcpdump –i eth0 host 10.56.19.106 and port 8314 -w 123.pcap则将标黄网卡填入)
NET_IF=eth0

#抓包打包文件大小单位为MB(默认每个数据包大小限制约为100M,根据现场需要修改)	
MAXSIZE=100

#抓包过滤条件(如tcpdump –i eth0 host 192.168.13.1 and port 80 -w 123.pcap则将标黄条件填入引号内)
CAP_CONDITION=" host 192.168.13.1 and port 80"

#磁盘监控分区信息(请根据抓包文件保存路径所在磁盘分区填写,避免抓包占满分区空间)
DISK_PATH=/cloud

抓包启动与停止

修改完auto_cap.config 中配置后
执行:
./auto_cap.sh start 即可启动,并自动添加定时监控任务
./auto_cap.sh stop 即可停止,并自动删除定时监控任务
./auto_cap.sh status 可查看抓包进程状态

crontab  -l 能查看到对应的监控任务即可

产生的抓包文件:

附件脚本链接

链接: https://pan.baidu.com/s/1uEKCuI9rh2Yl8utYSUe5dQ 提取码: fman 

没头脑先森
关注
专栏目录
LinuxShell脚本实战】实现屏蔽恶意IP地址的shell脚本
jks212454的博客
05-10 277
LinuxShell脚本实战】实现屏蔽恶意IP地址的shell脚本
Linux下几例抓包程序代码
seven407的专栏
12-01 1879
抓包程序1 grub_allpacket.c #include #include #include   #include #include #include   #include #include #include #include #include int main(int argc, char **argv) {   int sock, n,i;   char buffer[204
linux之while循环
weixin_42419429的博客
09-01 275
本次脚本也一并说明下;项目中排查一个故障需要循环的去抓包,但是抓包保存下来的文件怕把磁盘空间撑爆了,所以必须要定时清理最先的抓包。今天测试一个脚本需要查看定时任务是否按时执行了,需要使用到while循环,循环可以。# 这个命令执行的是 每3秒钟查询下 tcpdump 文件夹的空间。# 每2分钟执行一次要操作的脚本 这个之前都有空格。3. 输入exit命令退出终端:exit。2. 回车,使终端回到shell。退出终端后台还能执行命令。
linux tcpdump脚本实现24小时自动抓包
热门推荐
垃圾桶丁
01-26 1万+
#说明--------------- maindump.sh (抓包的主程序) 每隔1分钟通过死循环检测,让程序不断的去抓包;考虑到抓包的结果可能太大分析工具无法打开分析,所以每个数据包大小限制约为100M; 并设定了前一个包抓完,间隔5秒,开始进行下一轮抓包; 每天的数据包放在/data下以日期命名的目录如:/data/2010-03-08,并进行压缩存储,包的命令格式为:yyyy-mm
通过shell脚本实现linux服务器本地自动抓包-优化篇
没头脑的博客
09-19 971
服务器后台 实现自动抓包 切割 压缩抓包 自动抓包优化
帮朋友刷赞——抓包并大批量使用shell脚本发送HTTP请求
大吉的博客
03-18 4862
需求分析 我有一个朋友,他嫌用手点赞点的手疼,想让我用技术手段帮他点赞。 这个需求很简单,下面提供具体思路: 技术要点 首先分析一下看到上面的场景首先能想到的方式吧。 去网页上点赞,一定是触发一次HTTP请求的。我们只需要使用抓包工具将该HTTP请求抓到,并且模拟一次一模一样的请求发送到该服务器上,就可以完成一次点赞操作。 如何抓包(HTTP请求报文) 其实使用Google Chrome自带的开发者工具就可以。如下图所示: 点击之后就可以得到一串Curl格式的报文。 我们先分析一下这串报文,将该curl导
linux系统中使用shell进行抓包与访问
一位学生的无用武之地
09-05 2991
curl的使用
Linux以 cp/rsync 命令编写 shell 脚本
qq_44262210的博客
05-17 1521
写一个批量复制的shell脚本
php 调用远程shell,在PHP中调用php_ssh实现远程登陆linux服务器并执行shell脚本
weixin_39608479的博客
04-12 616
这个功能主要用于在web端利用程序对远程服务器进行操作,通过PHP_ssh执行shell脚本实现。首先要安装php_ssh2组件,linux中centos7下有ssh2源,直接安装。window下则需要自行下载dll组件加载,具体方法自行搜索。安装完毕后就可以在PHP写执行shell脚本的程序了$ssh_user='root';        //登陆linux的ssh2用户名$ssh_pwd=...
简单的Linux查找后门思路和shell脚本分享
09-15
主要介绍了简单的Linux查找后门思路和shell脚本分享,本文的方法相对简单,提了一个思路和简单的Shell实现脚本,需要的朋友可以参考下
运维企业实战Shell脚本合集+万能工具箱
作者的博客园已搬家到CSDN,访问博客园主页将默认跳转至CSDN
10-28 3033
企业实战中必备的`Shell`脚本合集,针对:系统维护、线上业务、数据库、DevOps等多个场景的
linux shell 抓包 tcpdump 学习
狗剩的专栏
10-26 1381
https://ipcmen.com/tcpdump -a 尝试将网络和广播地址转换成名称。 -c<数据包数目> 收到指定的数据包数目后,就停止进行倾倒操作。 -d 把编译过的数据包编码转换成可阅读的格式,并倾倒到标准输出。 -dd 把编译过的数据包编码转换成C语言的格式,并倾倒到标准输出。 -ddd 把编译过的数据包编码转换成十进制数字的格式,并倾倒到标准输出。 -e 在每列倾倒资料上显示连接层级的文件头。 -f 用数字显示网际网络地
Shell万能工具箱脚本
作者的博客园已搬家到CSDN,访问博客园主页将默认跳转至CSDN
04-18 557
整合业务中常用的脚本并分类触发,所有功能均基于此文档内的外链脚本
python发邮件附件:配置SMTP服务器与认证?
DengHua2203的博客
10-09 378
Python发邮件附件不仅是一个实用的功能,也是一个展示Python强大功能的好机会。AokSend,Python邮件附件发送利器,API与SMTP接口集成,让文件分享更便捷,沟通更高效!
如何通俗的理解linux中的挂载?
qq_45993770的博客
10-09 848
挂载点是一个目录,作为另一个文件系统的入口点。当你挂载一个文件系统时,它的内容将出现在这个目录下,就像该目录本身就是该文件系统的一部分一样。挂载点是操作系统中文件系统整合的关键机制,通过将不同的文件系统挂载到特定的目录,操作系统能够提供一个统一且层次化的文件结构。理解挂载点的概念有助于更好地管理磁盘分区、优化系统性能,并确保数据的安全与组织性。
网络安全防御策略:通过限制IP访问提升服务器安全性
@云安全小杜
10-08 982
标题:网络安全防御策略:通过限制IP访问提升服务器安全性摘要:在网络安全领域,服务器被入侵是一场严重的事故。一旦发生这种情况,除了立即采取措施恢复系统外,还需要加强后续的安全防护措施。本文将探讨为什么在遭遇入侵后,限制只有防御IP才能访问服务器是一项有效的安全策略,并提供具体的实现方法。一、引言服务器一旦被黑客入侵,意味着现有的安全机制存在漏洞。为了防止进一步的损失,并为修复漏洞争取时间,限制对外部访问是非常必要的一步。
服务器基于 Nginx 负载均衡 + Docker Compose 提高并发量
最新发布
Tuna____的博客
10-09 1163
服务器的多服务管理多服务器的集群管理可参考博主 docker swarm 的技术分享根据服务请求量和服务器规模的匹配程度,多服务器集群的性能对于目前来说过剩,故有了本研究的分享。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值