centos网络抓包获取访问的url

admin

当服务器对外访问了哪些内容的时候，我们需要实时查看，如何操作？
window下，我们抓包用的是wireshark。其实linux系统也是有的
centos安装网络抓包wireshark的方法

1. CentOS: yum install -y wireshark

复制代码

使用的方法如下：

1. tshark -s 512 -i eth0 -n -f 'tcp dst port 80' -R 'http.host and http.request.uri' -T fields -e http.host -e http.request.uri -l | tr -d '\t'

复制代码

这样就可以实时的显示当前访问的url地址。

tahark参数含义
    -s 512 :只抓取前512个字节数据
    -i eth0 :捕获eth0网卡
    -n :禁止网络对象名称解析
    -f 'tcp dst port 80' :只捕捉协议为tcp,目的端口为80的数据包
    -R 'http.host and http.request.uri' :过滤出http.host和http.request.uri
    -T fields -e http.host -e http.request.uri :打印http.host和http.request.uri
    -l ：输出到标准输出

admin

wireshark工具也可以实时的输出当前运行的mysql语句
代码如下：

1. tshark -s 512 -i eth0 -n -f 'tcp dst port 3306' -R 'mysql.query' -T fields -e mysql.query

复制代码

参数含义：

    -s 512 :只抓取前512个字节数据
    -i eth0 :捕获eth0网卡
    -n :禁止网络对象名称解析
    -f 'tcp dst port 3306' :只捕捉协议为tcp,目的端口为3306的数据包
    -R 'mysql.query' :过滤出mysql.query
    -T fields -e mysql.query :打印mysql查询语句

tshark使用-f来指定捕捉包过滤规则，规则与tcpdump一样，可以通过命令man pcap-filter来查得。
tshark使用-R来过滤已捕捉到的包，与界面板wireshark的左上角Filter一致