热门标签
热门文章
- 1swift 实现flutter基本交互 - 传值篇_swift flutter 传值
- 250套高大上的后台管理系统模板,总有一套适合你_csdn后台系统模板
- 3AIGC:AI绘画-Stable-Diffusion 简介及实践_stable diffusion 动漫角色prompt
- 4[报错]TypeError [ERR_INVALID_CALLBACK]: Callback must be a function
- 5NLP这两年:15个预训练模型对比分析与剖析
- 6【极简主义的深度学习】01 概览深度学习
- 7云计算的开源社区与合作
- 8nltk.download(‘averaged_perceptron_tagger‘)报错
- 9pytorch实现情感分类(wordavg&lstm&cnn)_pytorch 实现情感分类模型 lstm 读取自己的文件 并使用训练好的模型对新数据进行
- 10玩玩Suno V3,把课文《怎么都快乐》变成歌
当前位置: article > 正文
Linux命令行抓包及包解析工具tshark(wireshark)使用实例解析_tshark 命令搜索url
作者:Monodyee | 2024-03-27 20:21:56
赞
踩
tshark 命令搜索url
背景:当时有用tcpdump抓包的(https://justwinit.cn/post/6406/),这儿主要是能看到mysql的查询,这个功能不错,特转载。
这个还是依赖libpcap的,如下:
一、抓Mysql包命令如下:
二、打印当前http请求的url(包括域名)
更多见下面摘录博文。
______________________________________________________________________________
先得安装Rpm包以及自己安装时遇到的问题,如下:
在Linux下,当我们需要抓取网络数据包分析时,通常是使用tcpdump抓取网络raw数据包存到一个文件,然后下载到本地使用wireshark界面网络分析工具进行网络包分析。
最近才发现,原来wireshark也提供有Linux命令行工具-tshark。tshark不仅有抓包的功能,还带了解析各种协议的能力。下面我们以两个实例来介绍tshark工具。
1、安装方法
CentOS: yum install -y wireshark
Ubuntu: apt-get install -y tshark
实践时出现如下问题:
Error in PREIN scriptlet in rpm package wireshark-1.8.10-7.el6_5.x86_64
groupadd: cannot open /etc/group
groupadd xxx时报错:
groupadd : cannot open /etc/group
————————————————————————————————
解决方法:
root:chattr -i /etc/gshadow
root:chattr -i /etc/group
useradd xxx时报错:
useradd :cannot open /etc/passwd
[root@jackxiang ~]# lsattr /etc/group
----i--------e- /etc/group
解决方法:
chattr -i /etc/shadow
chattr -i /etc/gshadow
chattr -i /etc/group
chattr -i /etc/passwd
参考:http://www.linuxidc.com/Linux/2012-12/76627.htm
————————————————————————————————
2、实时打印当前http请求的url(包括域名)
下面介绍参数含义:
-s 512 :只抓取前512个字节数据
-i eth0 :捕获eth0网卡
-n :禁止网络对象名称解析
-f 'tcp dst port 80' :只捕捉协议为tcp,目的端口为80的数据包
-R 'http.host and http.request.uri' :过滤出http.host和http.request.uri
-T fields -e http.host -e http.request.uri :打印http.host和http.request.uri
-l :输出到标准输出
3、实时打印当前mysql查询语句
tshark -s 512 -i eth0 -n -f 'tcp dst port 3306' -R 'mysql.query' -T fields -e mysql.query
4、过滤HTTP请求:
# tshark 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)' -R 'http.request.method == "GET" || http.request.method == "HEAD"'
输出:
Running as user "root" and group "root". This could be dangerous.
Capturing on eth0
0.000000 123.126.68.27 -> 173.255.196.50 HTTP GET /grep.html HTTP/1.1
12.066470 123.126.68.27 -> 173.255.196.50 HTTP GET /pro_lang.html HTTP/1.1
4摘自:http://www.berlinix.com/net/tshark.php
下面介绍参数含义:
-s 512 :只抓取前512个字节数据
-i eth0 :捕获eth0网卡
-n :禁止网络对象名称解析
-f 'tcp dst port 3306' :只捕捉协议为tcp,目的端口为3306的数据包
-R 'mysql.query' :过滤出mysql.query
-T fields -e mysql.query :打印mysql查询语句
tshark使用-f来指定捕捉包过滤规则,规则与tcpdump一样,可以通过命令man pcap-filter来查得。
tshark使用-R来过滤已捕捉到的包,与界面板wireshark的左上角Filter一致。
作者:justwinit@向东博客 专注WEB应用 构架之美 --- 构架之美,在于尽态极妍 | 应用之美,在于药到病除
地址:http://justwinit.cn/post/7458/
这个还是依赖libpcap的,如下:
一、抓Mysql包命令如下:
- tshark -s 512 -i eth0 -n -f 'tcp dst port 3306' -R 'mysql.query' -T fields -e mysql.query
- tshark -s 512 -i em1 -n -f 'tcp dst port 3306' -R 'mysql.query' -T fields -e mysql.query
二、打印当前http请求的url(包括域名)
- tshark -s 512 -i eth0 -n -f 'tcp dst port 80' -R 'http.host and http.request.uri' -T fields -e http.host -e http.request.uri -l | tr -d '\t'
更多见下面摘录博文。
______________________________________________________________________________
先得安装Rpm包以及自己安装时遇到的问题,如下:
- Dependency Installed:
- libpcap.x86_64 14:1.4.0-1.20130826git2dbcaa1.el6 libsmi.x86_64 0:0.4.8-4.el6
- Failed:
- wireshark.x86_64 0:1.8.10-7.el6_5
- Complete!
- [root@localhost htdocs]# tshark -s 512 -i eth0 -n -f 'tcp dst port 3306' -R 'mysql.query' -T fields -e mysql.query
- Running as user "root" and group "root". This could be dangerous.
- Capturing on eth0
- 0 packets captured
- [root@localhost htdocs]# id
- uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel)
- [root@localhost htdocs]# tshark -s 512 -i eth0 -n -f 'tcp dst port 3306' -R 'mysql.query' -T fields -e mysql.query
- Running as user "root" and group "root". This could be dangerous.
- Capturing on eth0
- SET NAMES utf8
- SELECT *\x0aFROM (`tv_nav`)\x0aWHERE `enabled` = 1\x0aORDER BY `order` DESC\x0aLIMIT 0, 20
- SET NAMES utf8
- SELECT *\x0aFROM (`tv_nav`)\x0aWHERE `enabled` = 1\x0aORDER BY `order` DESC\x0aLIMIT 0, 20
在Linux下,当我们需要抓取网络数据包分析时,通常是使用tcpdump抓取网络raw数据包存到一个文件,然后下载到本地使用wireshark界面网络分析工具进行网络包分析。
最近才发现,原来wireshark也提供有Linux命令行工具-tshark。tshark不仅有抓包的功能,还带了解析各种协议的能力。下面我们以两个实例来介绍tshark工具。
1、安装方法
CentOS: yum install -y wireshark
Ubuntu: apt-get install -y tshark
实践时出现如下问题:
Error in PREIN scriptlet in rpm package wireshark-1.8.10-7.el6_5.x86_64
groupadd: cannot open /etc/group
groupadd xxx时报错:
groupadd : cannot open /etc/group
————————————————————————————————
解决方法:
root:chattr -i /etc/gshadow
root:chattr -i /etc/group
useradd xxx时报错:
useradd :cannot open /etc/passwd
[root@jackxiang ~]# lsattr /etc/group
----i--------e- /etc/group
解决方法:
chattr -i /etc/shadow
chattr -i /etc/gshadow
chattr -i /etc/group
chattr -i /etc/passwd
参考:http://www.linuxidc.com/Linux/2012-12/76627.htm
————————————————————————————————
2、实时打印当前http请求的url(包括域名)
- tshark -s 512 -i eth0 -n -f 'tcp dst port 80' -R 'http.host and http.request.uri' -T fields -e http.host -e http.request.uri -l | tr -d '\t'
- tshark -s 1024 -i eth0 -n -f 'tcp dst port 80' -R 'http.host and http.request.uri' -T fields -e http.host -e http.request.uri -l | tr -d '\t'
下面介绍参数含义:
-s 512 :只抓取前512个字节数据
-i eth0 :捕获eth0网卡
-n :禁止网络对象名称解析
-f 'tcp dst port 80' :只捕捉协议为tcp,目的端口为80的数据包
-R 'http.host and http.request.uri' :过滤出http.host和http.request.uri
-T fields -e http.host -e http.request.uri :打印http.host和http.request.uri
-l :输出到标准输出
3、实时打印当前mysql查询语句
tshark -s 512 -i eth0 -n -f 'tcp dst port 3306' -R 'mysql.query' -T fields -e mysql.query
4、过滤HTTP请求:
# tshark 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)' -R 'http.request.method == "GET" || http.request.method == "HEAD"'
输出:
Running as user "root" and group "root". This could be dangerous.
Capturing on eth0
0.000000 123.126.68.27 -> 173.255.196.50 HTTP GET /grep.html HTTP/1.1
12.066470 123.126.68.27 -> 173.255.196.50 HTTP GET /pro_lang.html HTTP/1.1
4摘自:http://www.berlinix.com/net/tshark.php
下面介绍参数含义:
-s 512 :只抓取前512个字节数据
-i eth0 :捕获eth0网卡
-n :禁止网络对象名称解析
-f 'tcp dst port 3306' :只捕捉协议为tcp,目的端口为3306的数据包
-R 'mysql.query' :过滤出mysql.query
-T fields -e mysql.query :打印mysql查询语句
tshark使用-f来指定捕捉包过滤规则,规则与tcpdump一样,可以通过命令man pcap-filter来查得。
tshark使用-R来过滤已捕捉到的包,与界面板wireshark的左上角Filter一致。
作者:justwinit@向东博客 专注WEB应用 构架之美 --- 构架之美,在于尽态极妍 | 应用之美,在于药到病除
地址:http://justwinit.cn/post/7458/
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/Monodyee/article/detail/326698
推荐阅读
相关标签
