Linux命令行抓包及包解析工具tshark(wireshark)使用实例解析

### Linux命令行抓包及包解析工具tshark(wireshark)使用实例解析 #### 一、引言 在日常运维或网络安全分析工作中，抓取网络数据包并对其进行解析是一项重要的技能。传统的做法是使用`tcpdump`来抓取原始网络数据包，并将这些数据包保存至文件中，随后通过图形界面工具`Wireshark`来进行深入分析。然而，对于那些偏好使用命令行工具或需要在远程服务器上进行数据分析的用户来说，`tshark`（作为`Wireshark`的一个组成部分）则提供了一个强大的解决方案。 本文将详细介绍`tshark`的基本用法以及如何利用它来完成两项实用任务：实时打印当前HTTP请求的URL（包括域名）以及实时打印当前MySQL查询语句。 #### 二、tshark简介 `tshark`是`Wireshark`的一个命令行版本，它可以独立于图形界面运行。`tshark`不仅可以用于捕获网络数据包，还能对捕获的数据包进行解析，支持多种网络协议。它的主要优势在于其轻量级特性、灵活性以及能够高效地处理大量数据。 #### 三、安装方法 `tshark`的安装非常简单，可以按照以下步骤进行： - **CentOS系统**: ``` yum install -y wireshark ``` 安装完成后，确保将`tshark`加入到默认路径中，以便能够在终端中直接使用： ``` sudo tee -a /etc/selinux/config <<EOF # Allow wireshark to capture packets without root priviledges selinuxtype unconfined_t EOF sudo chcon -Rt unconfined_t /usr/bin/tshark ``` - **Ubuntu系统**: ``` apt-get install -y tshark ``` Ubuntu系统默认安装的是`tshark`，因此无需额外配置即可直接使用。 #### 四、实时打印当前HTTP请求的URL（包括域名） 要实现实时打印当前HTTP请求的URL，可以使用以下命令： ``` tshark -s 512 -i eth0 -n -f 'tcp dst port 80' -R 'http.host and http.request.uri' -T fields -e http.host -e http.request.uri -l | tr -d '\t' ``` **参数说明**: - `-s 512`: 只捕获每个数据包的前512个字节，这通常足以包含HTTP请求头。 - `-i eth0`: 指定捕获eth0网卡上的数据包。 - `-n`: 禁止网络对象名称解析，避免DNS查询带来的延迟。 - `-f 'tcp dst port 80'`: 只捕获目标端口为80（即HTTP）的TCP数据包。 - `-R 'http.host and http.request.uri'`: 使用显示过滤器，只显示含有`http.host`和`http.request.uri`字段的数据包。 - `-T fields -e http.host -e http.request.uri`: 指定输出格式，仅显示`http.host`和`http.request.uri`字段。 - `-l`: 将结果输出到标准输出。 #### 五、实时打印当前MySQL查询语句 若要实现实时打印当前MySQL查询语句，可以使用如下命令： ``` tshark -s 512 -i eth0 -n -f 'tcp dst port 3306' -R 'mysql.query' -T fields -e mysql.query ``` **参数说明**: - `-s 512`: 只捕获每个数据包的前512个字节。 - `-i eth0`: 指定捕获eth0网卡上的数据包。 - `-n`: 禁止网络对象名称解析。 - `-f 'tcp dst port 3306'`: 只捕获目标端口为3306（即MySQL默认端口）的TCP数据包。 - `-R 'mysql.query'`: 使用显示过滤器，只显示含有`mysql.query`字段的数据包。 - `-T fields -e mysql.query`: 指定输出格式，仅显示`mysql.query`字段。 #### 六、总结 通过本文的学习，我们不仅了解了`tshark`这一强大的网络数据包捕获和解析工具的基础用法，还学习了如何使用它来实现两个非常实用的任务：实时打印当前HTTP请求的URL（包括域名）以及实时打印当前MySQL查询语句。这对于网络管理员、安全工程师以及开发者来说都是非常有用的知识点。此外，掌握`tshark`还可以帮助我们在复杂的网络环境中更快地定位问题，提高工作效率。