tcpdump和tshark抓包工具
有时网卡的数据量突然增大,这时可以用抓包工具抓包来查看数据流
tcpdump
-nn显示IP和端口
-c[数字] 抓取指定数量的数据包
第一个字段是时间
第二个字段是IP
第三个字段是来源IP、端口和目标的IP、端口(如果网卡负载过高而且有大量的同来源数据包那就有可能受到攻击了)
-i指定网卡
port 指定端口
[协议] 指定协议
例如:tcpdump -nntcp and port 22
host 指定IP
-w 把抓的包的内容写入文件,不能直接查看文件的内容,用-r可以查看文件中包的流向
-s0 抓取完整的数据包
tshark
windos和linux都可以用的抓包工具,用yum install -y wireshark安装tshark工具
-nn查看的东西和tcpdump是一样的
tshark -n -t a-R http.request -T fields -e "frame.time" -e "ip.src" -e"http.host" -e "http.request.method" -e"http.request.uri" 这条命令可以更加直观清晰的看到数据的流向,显示访问http请求的域名以及uri
tshark -n -ieth1 -R 'mysql.query' -T fields -e "ip.src" -e"mysql.query" 可以抓取mysql的查询
tshark -n -ieth1 -R 'mysql matches "SELECT|INSERT|DELETE|UPDATE"' -T fields -e "ip.src"-e "mysql.query" 可以抓取指定类型的MySQL查询
tshark -n -q -zhttp,stat, -z http,tree 统计http的状态,直到你ctrl + c才会显示出结果
编辑回复