yum install -y wireshark

最近才发现,原来wireshark也提供有Linux命令行工具-tshark。tshark不仅有抓包的功能,还带了解析各种协议的能力。下面我们以两个实例来介绍tshark工具。

tshark -s 512 -i eth0 -n -f 'tcp dst port 3306' -R 'mysql.query' -T fields -e mysql.query

-s 512 :只抓取前512个字节数据

-s   捕获快照长度

设置默认的快照长度来使用 当捕获实时数据。 顶多每个网络包的快照长度字节会被读入到内存或者保存到磁盘。

一个值为65536,那么整个包会被捕获 这是默认的

这个选项可以发生很多次, 

-n  禁用网络对象名字解析(比如主机名,TCP和UDP 端口名字)  

-f  <capture filter>

Set the capture filter expression.  设置捕获过滤器表达式

-f 'tcp dst port 3306' :只捕捉协议为tcp,目的端口为3306的数据包

tshark -i eth1 -n -f 'tcp dst port 3306' -R 'mysql.query' -T fields -e mysql.query

-R 'mysql.query' :过滤出mysql.query

-T fields -e mysql.query :打印mysql查询语句

-e 字段

增加一个字段到字段的列表来显示 如果 -F 字段是选择的,这个选项可以使用多次在命令行 至少一个字段是必须提供的

tshark -s 65536 -n -i eth0 -R 'mysql.query' -T fields -e "ip.src" -e "mysql.query"

tshark -s 65536 -n -i eth1 -R 'mysql.query' -T fields -e "ip.src" -e "mysql.query"

zabbix:/root#  tshark -s 65536 -n -i eth1 -f 'tcp dst port 3306' -R 'mysql.query||mysql.user' -T fields -e ip.addr -e tcp.port -e frame.time -e mysql.user -e mysql.query

tshark -i eth1 -n -f 'tcp dst port 3306' -R 'mysql.query  matches "^(?!(?i)select).*" || mysql.user' -T fields -e ip.addr -e tcp.port -e frame.time -e mysql.user -e mysql.query 

 tshark -s 65536 -n -i eth1 -f 'tcp dst port 3306' -R 'mysql  matches  "delete|DELETE|Delete|UPDATE|update|Update|insert|INSERT|Insert"' -T fields -e ip.addr -e tcp.port -e frame.time -e mysql.user -e mysql.query 

抓包:

Vsftp:/data02/audit#  tshark -s 65536 -n -i eth1 -f 'tcp dst port 3306' -R 'mysql  matches  "delete|DELETE|Delete|UPDATE|update|Update|insert|INSERT|Insert"' -T fields -e ip.addr -e tcp.port -e frame.time -e mysql.user -e mysql.query

Running as user "root" and group "root". This could be dangerous.

Capturing on eth1

192.168.11.185,192.168.11.187	47677,3306	Dec  7, 2016 15:21:24.751464505		delete from t1

192.168.11.185,192.168.11.187	47677,3306	Dec  7, 2016 15:21:25.302466232		delete from t1

192.168.11.185,192.168.11.187	47677,3306	Dec  7, 2016 15:21:25.767454007		delete from t1

mysql 5.6版本有源IP和源端口

但是mysql 5.1 版本就比较特殊:

192.168.5.17	3306	Dec  7, 2016 15:25:12.290737000		delete from async_message where id=598756

192.168.5.17	3306	Dec  7, 2016 15:25:12.291717000		UPDATE real_time_room_sta SET is_live='F' WHERE hotel_group_id=1 and hotel_id=555

192.168.5.17	3306	Dec  7, 2016 15:25:12.294355000		UPDATE real_time_room_sta SET is_live='T' WHERE hotel_group_id=1 and hotel_id=555 AND rmno IN('201','202','209','223','225','237','253','255','269')

504 packets captured

[root@pms-db-bf audit]#  tshark -s 65536 -n -i eth0 -f 'tcp dst port 3306' -R 'mysql  matches  "(?i)delete|update|insert"' -T fields -e ip.addr -e tcp.port -e frame.time -e mysql.user -e mysql.query

就抓不到源端口和源IP

 tshark -s 65536 -n -i eth1 -f 'tcp dst port 3306' -R 'mysql  matches  "(?i)delete|update|insert"' -T fields -e ip.addr -e tcp.port -e frame.time -e mysql.user -e mysql.query

原因 tshark 版本不同:

Vsftp:/data02/audit# tshark -version

TShark 1.8.10 (SVN Rev Unknown from unknown)

[root@pms-db-bf sbin]# tshark -version

TShark 1.0.15

CentOS 5.8 升级tshark

Vsftp:/data02/audit# rpm -qa | grep wireshark

wireshark-1.8.10-17.el6.x86_64

[root@pms-db-bf sbin]# rpm -qa | grep wireshark

wireshark-1.0.15-7.el5_11

tshark 使用说明的更多相关文章

  1. tshark使用说明

    tshark -h TShark (Wireshark) (v2.-gf42a0d2b6c) Dump and analyze network traffic. See https://www.wir ...

  2. Atitit.项目修改补丁打包工具 使用说明

    Atitit.项目修改补丁打包工具 使用说明 1.1. 打包工具已经在群里面.打包工具.bat1 1.2. 使用方法:放在项目主目录下,执行即可1 1.3. 打包工具的原理以及要打包的项目列表1 1. ...

  3. awk使用说明

    原文地址:http://www.cnblogs.com/verrion/p/awk_usage.html Awk使用说明 运维必须掌握的三剑客工具:grep(文件内容过滤器),sed(数据流处理器), ...

  4. “我爱背单词”beta版发布与使用说明

    我爱背单词BETA版本发布 第二轮迭代终于画上圆满句号,我们的“我爱背单词”beta版本已经发布. Beta版本说明 项目名称 我爱背单词 版本 Beta版 团队名称 北京航空航天大学计算机学院  拒 ...

  5. Oracle 中 union 和union all 的简单使用说明

    1.刚刚工作不久,经常接触oracle,但是对oracle很多东西都不是很熟.今天我们来了解一下union和union all的简单使用说明.Union(union all): 指令的目的是将两个 S ...

  6. Map工具系列-02-数据迁移工具使用说明

    所有cs端工具集成了一个工具面板 -打开(IE) Map工具系列-01-Map代码生成工具说明 Map工具系列-02-数据迁移工具使用说明 Map工具系列-03-代码生成BySQl工具使用说明 Map ...

  7. Map工具系列-03-代码生成BySQl工具使用说明

    所有cs端工具集成了一个工具面板 -打开(IE) Map工具系列-01-Map代码生成工具说明 Map工具系列-02-数据迁移工具使用说明 Map工具系列-03-代码生成BySQl工具使用说明 Map ...

  8. jQuery验证控件jquery.validate.js使用说明

    官网地址:http://bassistance.de/jquery-plugins/jquery-plugin-validation jQuery plugin: Validation 使用说明 转载 ...

  9. gdbsever 使用说明

    gdbsever 使用说明 在新塘N3292x平台下 编译 gdbsever ./configure --target=arm-linux --host=arm-linux arm-linux-gdb ...

随机推荐

  1. Mysql 冷备份批处理

    @Rem Generate today date @echo wscript.echo dateadd("d",0,date)>GetOldDate.vbs @for /f ...

  2. C# this关键字详解

    this关键字主要有一下几个用途:1,this 用来引用当前类的实例,和扩展方法的第一个参数的修饰符 }2,限定被相似的名称隐藏的成员,例如: public Employee(string name, ...

  3. C语言中的%0nd,%nd,%-nd

    C语言中的%0nd printf --> formatted print/格式化输出 一.十进制 d -> decimal/十(shí)进制 int a=1; int b=1234; do ...

  4. String Shifting

    我们规定对一个字符串的shift操作如下:略去.shift(string, x) = string(0 <= x < n). 分析:一看这题,这不很简单么,直接模拟判断,但是这套路有这么简 ...

  5. 安装kali之后

    更新源(以下设置均基于这些源) #vi /etc/apt/sources.list 把这些源加进去 ############################ debian wheezy ####### ...

  6. 省市县 三级 四级联动Javascript JQ 插件PCASClass.js

    想要使用这款组件,需要页面引入 PCASClass.js 核心文件,该文件在您的HTML文档<head>标签之内. <script type="text/javascrip ...

  7. Android开发系列之ListView

    上篇博客解决了Android客户端通过WebService与服务器端程序进行交互的问题,这篇博客重点关注两个问题,一个是Android应用程序如何与本机文件型数据库SQLite进行交互,另一问题则是如 ...

  8. pc telnet 登录 android 系统

    前提是:1) 手机已经root,且装有busybox,2) 还装有至少一款terminal(模拟终端)软件,手机连wifi路由器.3) 还要有一些基础常识,比如linux命令,telnet.这里模拟终 ...

  9. Dev-C++之开启装逼效果

    Dev-C++是个不错的C++IDE——在10年前,它是很不错,在现在,它是个以界面丑陋和调试像吃粑粑这两点著称,如下图.

  10. mvvm windows app DataBinding

    前台html 绑定(view):<div id="aa" data-win-bind="innerText:UserData.word" style=&q ...