tshark存储数据到mysql_网络分析利器wireshark命令版(2):tshark使用示例

最新推荐文章于 2022-12-11 00:00:10 发布
最新推荐文章于 2022-12-11 00:00:10 发布
阅读量529 收藏
点赞数
文章标签: tshark存储数据到mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39830906/article/details/113905467
版权
本文介绍了tshark作为wireshark的命令行工具,如何用于网络抓包和分析。内容包括基本用法、常用命令,如查看版本、网络接口,以及抓取特定协议、过滤条件的示例。通过实例展示了如何实时打印MySQL查询语句、HTTP请求URL,以及从pcap文件中提取数据并输出到CSV。同时,还提到了DNS报文过滤和常见问题解答。
摘要由CSDN通过智能技术生成

tshark是wireshark网络分析工具下的一个分支,主要用于命令行环境进行抓包、分析,尤其对协议深层解析时,tcpdump难以胜任的场景中。本系列文章将整理介绍tshark相关内容。

基本用法

常用命令

查看tshark版本

tshark -v

列出当前存在的网络接口

tshark -D

网卡描述依据OS有不同的编号方式,在不了解网络设备及编号情况下,一般先用“tshark -D”查看网络接口的编号以供-i参数使用。

注: linux可以结合ifconfig命令查看

tshark对指定网卡监听,抓包

sudo tshark -i

抓取网卡eth0的流量并写入capture123.pcap

tshark -i eth0 -w capture123.pcap

读取之前的文件capture123.pcap

tshark -i eth0 -r capture123.pcap

抓取网卡eth0的流量10分钟

tshark -i eth0 -a duration:600

注: 默认时间单位为秒

抓取网卡eth0的10000个数据包

tshark -c 10000 -i eth0

抓取网卡eth0涉及192.168.1.1的流量报文

tshark -i eth0 -f “host 192.168.1.1”

注: 与wireshark、tcpdump一致,均使用BPF过滤表达式

抓取网卡eth0指定协议的流量报文

tshark -i eth0 -f “”

协议名可以为: tcp, udp, dns, icmp, http等

案例

实时打印当前mysql查询语句

tshark -s 512 -i eth1 -n -f 'tcp dst port 3306' -R 'mysql.query' -T fields -e mysql.query

说明:

-s 512 :只抓取前512个字节数据

-i eth0 :监听eth0网卡

-n :禁止域名解析

-f ‘tcp dst port 3306’ :只捕捉协议为tcp,目的端口为3306的数据包

-R ‘mysql.query’ :过滤出mysql.query查询语句的报文

-T fields -e mysql.query :打印mysql查询语句

实时打印当前http请求的url(包括域名)

tshark -s 512 -i eth1 -n -f 'tcp dst port 8000' -R 'http.host and http.request.uri' -T fields -e http.host -e http.request.uri -l | tr -d 't'

说明:

-s 512 :只抓取前512个字节数据

-i eth1 :监听eth1网卡

-n :禁止网络对象名称解析

-f ‘tcp dst port 8000’ :只捕捉协议为tcp,目的端口为8000的数据包

-R ‘http.host and http.request.uri’ :过滤出http.host和http.request.uri

-T fields -e http.host -e http.request.uri :打印http.host和http.request.uri

-l :输出到标准输出

读取之前抓包文件进行报文数据分析

需要从抓包的文件evidence04.pcap中提取出报文相关数据信息,如时间、源IP、目的IP、协议名、源Port、標Port、包大小等信息,最后输出到csv文件。

tshark -r evidence.pcap -T fields -e frame.time_relative -e ip.src -e ip.dst -e ip.proto -e tcp.srcport -e tcp.dstport -e frame.len -E header=n -E separator=, -E quote=n -E occurrence=f > output.csv

说明:

-r evidence.pcap 需要分析的报文记录文件(pcap格式)

-T fields 输出格式,选fields按字段,也可以选json等其他格式,需结合-e 及 -E使用

-e frame.time_relative 取出封包的相对时间

-e ip.src 提取源IP

-e ip.dst 提取目的IP

-e ip.proto 提取协议名

-e tcp.srcport 提取源Port

-e tcp.dstport 提取目的Port

-e frame.len 提取数据帧大小

-E header=n 是否输出字段名称(cvs的第1行)

-E separator=, 指定分割符,/t是tab,/s是一格空格

-E quote=n 指定是否对字段用引号,d是双引号,s是单引号,n是不用

-E occurrence=f 多值时是否保留,f是第一个值,l是最后一个值,a是所有值都列出,默认全部

output.csv 输出文件路径及名称

DNS报文过滤

使用tshark过滤dns cap包中源ip、目的ip、request请求

tshark -r test.cap -T fields -e frame.time -e ip.src -e ip.dst -e dns.qry.name -R 'udp.dstport==53 || dns'

说明:

-r test.pcap 需要分析的报文记录文件(pcap格式)

-T fields 输出格式,选fields按字段,也可以选json等其他格式,需结合-e 及 -E使用

-e frame.time 提取数据帧时间

-e ip.src 提取源IP

-e ip.dst 提取目的IP

-e dns.qry.name 提取dns查询的域名信息

-R 'udp.dstport==53 || dns' 显示过滤,仅对udp目标端口为53或者dns协议的报文进行处理

默认直接显示在终端上,不记录文件。

常见问题

tshark: Only read filters, not capture filters, can be specified when reading a capture file.

tshark -r 20190409.pcap -f 'udp' -w udp-20190409.pcap

读取文件时只能使用显示过滤,也就是只能使用-Y或-2 -R过滤

tshark: -R without -2 is deprecated. For single-pass filtering use -Y.

tshark -r 20190409.pcap -R 'udp' -w udp-20190409.pcap

显示过滤-R参数需要和-2一起使用,或使用-Y

参考:

系列文章:

weixin_39830906
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
日常运维管理 常用命令(2)
weixin_30338481的博客
03-25 137
[root@tyzz ~]# w 23:13:58 up 11 days, 9:15, 1 user, load average: 0.00, 0.01, 0.05 USER TTY LOGIN@ IDLE JCPU PCPU WHAT root pts/0 23:03 6.00s 0.02s 0.00s...
tshark采集保存TLS协议字段数据
lkh2333的博客
03-02 658
通过tshark抓取tls协议,参数包含抓包接口,源地址,目的地址,字段类型,采集长度,文件保存路径,但该代码是直接行写入,最终采集长度比所需长度一般大于等于一个数据包的相关字段长,有兴趣的同学可以自行优化。tshark采集保存TLS协议字段数据
tshark mysql_tshark 抓包分析
weixin_39613839的博客
02-22 346
一,安装#yum install -y wireshark二.具体使用案例1.抓取500个包,提取访问的网址打印出来tshark -s 0 -i eth0 -n -f 'tcp dst port 80' -R 'http.host and http.request.uri' -T fields -e http.host -e http.request.uri -l -c 502.抓取500个包,提...
tshark mysql_使用tshark抓包分析http请求
weixin_42300162的博客
02-22 671
前言:在Linux下,当我们需要抓取网络数据包分析时,通常是使用工具tcpdump。但是,有时我们需要将抓取的数据包保存在一个文件中,已备以后分析。而tcpdump保存的文件是二进制的文件,使用cat和vim都无法打开查看。此时我们采取的措施是,下载到本地使用wireshark界面网络分析工具进行网络包分析。其实wireshark也提供有Linux命令行工具tshark。tshark不仅有抓包的...
Linux tshark发送抓取的数据到kafka
呆萌的代Ma
09-26 320
首先要安装好kafka与zookeeper,请参考:https://blog.csdn.net/weixin_35757704/article/details/120488287 然后使用一个新的窗口界面,进入到kafka的目录下,运行代码: nc -l 8888 | ./bin/kafka-console-producer.sh --broker-list localhost:9092 --topic 'tshark-kafka' 这行命令的含义是借助nc作为跳板,运行kafka,将nc -l的输出
如何使用Wireshark查看MySQL查询SQL
Tech My Life
03-16 1707
如何使用Wireshark查看MySQL查询SQL 右键表头 - >Column Preferences -> 外观 -> 列 -> +加号 -> 类型选择Custom -> Fields输入“mysql.query” -> OK
tshark 操作后保存为pcap数据
呆萌的代Ma
08-16 1635
具体操作请参考:https://www.wireshark.org/docs/man-pages/tshark.html 使用如下代码即可: tshark -r 源数据包.pcap -w 保存名称.pcap -F pcap 案例 删除网关数据包并保存: tshark -r 源数据包.pcap -Y ip.dst!=192.168.1.1 -Y ip.src!=192.168.1.1 -w 保存名称.pcap -F pcap ...
日常运维管理技巧十(linux下抓包 tcpdump)
Jian Sun_的博客
11-13 1617
十、linux下抓包 tcpdump命令是一款抓包工具,它可以打印所有经过网络接口的数据包的头信息,也可以使用-w选项将数据包保存到文件中,方便以后分析。 1、tcpdump工具需要自行安装: # yum install -y tcpdump 格式:tcpdump 选项 可用选项,常见的我用红色标出: -a:尝试将网络和广播地址转换成名称; -c<数据包数量>:收到指定的...
全网第三详细tshark使用帮助
12-11 7069
一 前言tshark作为wireshark命令本,功能非常强大,可以抓包,数据包分析、提取文件、提取分析后的数据还支持各种格式,可以说一把流量分析的瑞士军刀,如果在低流量的场景,包装下tshark命令,就可以做个功能比较丰富的分析系统了,结合检测规则,一个简单点的IDS系统就出来了。二 核心功能2.1 抓包如同tcpdump一样,tshark也可以通过命令行方式进行流量捕获,功能一点也不弱。...
Linux命令行抓包及包解析工具tshark(wireshark)使用实例解析
weixin_30500289的博客
07-31 203
  在Linux下,当我们需要抓取网络数据包分析时,通常是使用tcpdump抓取网络raw数据包存到一个文件,然后下载到本地使用wireshark界面网络分析工具进行网络包分析。  最近才发现,原来wireshark也提供有Linux命令行工具-tshark。tshark不仅有抓包的功能,还带了解析各种协议的能力。下面我们以两个实例来介绍tshark工具。1、安装方法 CentOS: yum...
wireshark过滤器使用
cloud 的学习时代
11-10 3869
NAME  名称 wireshark-filter - Wireshark filter syntax and reference            过滤器语法和指南 SYNOPSIS   大纲 wireshark [other options] [ -R "filter expression" ]                     tshark [othe
tshark抓包小结
热门推荐
chen8238065的专栏
12-17 1万+
tshark命令详解网络抓包,分析工具。wireshark 的 Linux命令行工具。tshark option-i 设置抓包的网络接口,不设置则默认为第一个非自环接口。 -D 列出当前存在的网络接口。在不了解OS所控制的网络设备时,一般先用“tshark -D”查看网络接口的编号以供-i参数使用。 -f 设定抓包过滤表达式(capture filter expression)。抓包过滤表达式的写法
tshark 使用说明
weixin_30951389的博客
12-07 345
yum install -y wireshark 最近才发现,原来wireshark也提供有Linux命令行工具-tshark。tshark不仅有抓包的功能,还带了解析各种协议的能力。下面我们以两个实例来介绍tshark工具。 tshark -s 512 -i eth0 -n -f 'tcp dst port 3306' -R 'mysql.query' -T fields -e m...
201512011linux系统日常管理第三部分(使用tshark抓包分析http请求,iptables 针对一个网段)扩展1
niejicai的博客
12-11 490
iptables 实现centos内网机器访问外网 默认我们的机器上是没有安装这个工具的。如果你的linux是CentOS那么就使用yum安装 yum  install  -y  wireshark 也可以到官网下载源码 http://www.wireshark.org  具体安装方法,请参考 http://www.qtasp.cn/wiresharkcharpt/buildingwire
Wireshark命令行工具tshark使用小记
zztoll的专栏
02-08 3502
原文地址:http://www.cnblogs.com/liun1994/p/6142505.html Wireshark命令行工具tshark使用小记 1、目的   写这篇博客的目的主要是为了方便查阅,使用wireshark可以分析数据包,可以通过编辑过滤表达式来达到对数据的分析;但我的需求是,怎么样把Data部分导出来,因为后续的工作主要针对数据包的Dat
tshark简单应用指令
百尺竿头
05-05 1440
#tshark -i 1 -w /usr/tmp/icmp.cap -f"icmp" -b duration:3
wiresharkmysql_Wireshark 抓包MySQL的查询语句
weixin_42165018的博客
01-25 717
Wireshark 抓包MySQL的查询语句过滤器条件mysql.query contains "SELECT"........MySQL ProtocolPacket Length: 168Packet Number: 0CommandCommand: Query (3)Statement: EXPLAIN SELECT `GROUP_ID`,`MEMBER_ID`,`JOIN_DATETIME...
wireshark mysql_如何使用Wireshark清晰地捕获MySQL查询SQL
weixin_30300857的博客
01-19 1036
Because we develop using remote Mysql server , so cannot check query sql easily, if use local server you can tail - f general_log_file to see which sql are executed when call some http interface. So I...
我的pcap文件是wireshark按时间命名的,如202302211610_00002_20230221161319,如何解决 tshark: "_00002_20230221161319" was unexpected in this context
最新发布
06-14
如果你的pcap文件是按时间命名的,可以使用通配符`*`和`?`来匹配文件名中的通配符部分。`*`可以匹配任意长度的字符序列,`?`可以匹配单个字符。例如,假设你的pcap文件名为`202302211610_00002_20230221161319.pcap`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值