環境

系統平臺：Linux x86-64 Red Hat Enterprise Linux 8,Linux x86-64 Red Hat Enterprise Linux 7,Linux x86-64 SLES 12,銀河麒麟 （鯤鵬）,銀河麒麟 （X86_64）,銀河麒麟（龍芯）svs,中標麒麟（飛騰）6,中標麒麟（龍芯）7
版本：9.0,5.6.5,5.6.1,4.5.8

文檔用途

本文主要介紹網絡抓包命令tcpdump及數據包分析工具wireshark的簡單使用，幫助用戶進行數據庫網絡網面的數據采集分析

詳細信息

一、tcpdump
1、tcpdump作用

TCPDump可以將網絡中傳送的數據包完全截獲下來提供分析。它支持針對網絡層、協議、主機、網絡或端口的過濾，用戶可以使用tcpdump抓取數據庫相關的數據包進行分析。

2、tcpdump常用參數
本部分介紹在抓取數據庫數據庫包方面的常用參數

tcp: 這個參數指定了捕獲 TCP 協議的數據包。

port: 這個參數表示僅捕獲指定端口的數據包。

-i：參數指定了要監視的網絡接口，即網卡名稱

-n：數字格式顯示地址和端口，而不是嘗試進行反向 DNS 查找，可以疊加使用，-nn

-X：這個部分指示 tcpdump 在輸出數據包內容時，以十六進制和 ASCII 形式顯示非打印字符。

-v: 表示 verbose（冗長）-vvv連續多個V顯示更多的信息。

-s0: 這個參數表示捕獲整個數據包的大小，而不截斷它們。

-G: 指定多少秒切換輸出文件。這個參數通常與 -w 參數結合使用，用于定時切換捕獲的數據包文件。

-w 將相關信息輸出到文件，支持cap、pcap等格式

3、示例

#收集本地lo  5866數據庫端口網絡報文 （數據庫本地socket登錄）
tcpdump   -i lo -s0 -nnX -vvv#本地lo  5866數據庫端口網絡報文 （數據庫本地IP登錄）
tcpdump  tcp  port 5866 -i lo -s0 -nnX -vvv#本地網卡 5866數據庫端口網絡報文（遠程登陸） 
tcpdump tcp port 5866  -i ens33 -s0 -nnX  -vvv#可以生成日志用wireshark進行分析    加參數 -w +文件名稱即可。
tcpdump tcp port 5866  -i ens33 -s0 -nnX -vvv  -w 1.pcap#每10分鐘切換一個文件。tcpdump tcp port 5866  -i ens33 -s0 -nnX -vvv  -G 600 -w /tmp/tcpdump_save_%Y_%m%d_%H%M.cap

二、wireshark
1、wireshark的安裝
用戶可在wireshark官網下載對應的網絡包，支持中文，用戶可將在數據庫服務器上抓取的網絡包傳輸到個人電腦進行分析。

2、wireshark的使用
雙擊打開wireshark,打開tcpdump命令運行后產生的文件即可對數據庫包進行分析。

3、示例

4、其他說明
wireshark軟件功能強大，本文不會對軟件的功能進行詳細的介紹，感興趣的可以在網絡搜索相關文檔。