抓取mysql执行的sql语句

tcpdump -i eth1 -s 0 -l -w - dst  port 3306 | strings

抓取mysql通讯的网络包(cap用wireshark打开)

tcpdump -n -nn -tttt -i eth0 -s 65535 'port 3306' -w 20160505mysql.cap

各种远程抓包方法

 -s 0 -w /tmp/sniff.pcap port  # On the remote side
mkfifo /tmp/fifo; ssh-keygen; ssh-copyid root@remotehostaddress; sudo ssh root@remotehost "tshark -i eth1 -f 'not tcp port 22' -w -" > /tmp/fifo &; sudo wireshark -k -i /tmp/fifo;
ssh user@server.com sudo tcpdump -i eth0  -w - 'port 80'| /Applications/Wireshark.app/Contents/Resources/bin/wireshark -k -i -
ssh root@HOST tcpdump -iany -U -s0 -w - 'not port 22' | wireshark -k -i -

参考资料
analyze traffic remotely over ssh w/ wireshark

WHOIS协议规范

RFC 3912定义了一个非常简单的Internet信息查询协议——WHOIS协议。其基本内容是,先向服务器的TCP端口43建立一个连接,发送查询关键字并加上回车换行,然后接收服务器的查询结果。(已过时的RFC 954,RFC 812)

Internet管理机构 

世界上各级Internet管理机构秉承公开、公正、共享的原则,设立了可以查知IP地址和域名所有者登记资料的WHOIS服务器,以便所有Internet的使用者排除故障、打击网上非法活动。全世界国际区域性的IP地址管理机构如下图

 

五个国际区域性IP地址管理机构所负责的区域

五个国际区域性IP地址管理机构所负责的区域

(此图摘自http://www.iana.org/numbers)

 

Registry Area Covered
AFRINIC Africa Region
APNIC Asia/Pacific Region
ARIN Canada, USA, and some Caribbean Islands
LACNIC Latin America and some Caribbean Islands
RIPE NCC Europe, the Middle East, and Central Asia

重要的Internet管理机构和常用的WHOIS服务器

机构缩写 WHOIS服务器地址 机构全名及地点 提供查询内容
CERNIC whois.edu.cn 中国教育与科研计算机网网络信息中心
(清华大学·中国北京)
中国教育网内的IP地址和.edu.cn域名信息
CNNIC whois.cnnic.net.cn 中国互联网络信息中心
(中国科学院计算机网络信息中心·中国北京)
.cn域名(除.edu.cn)信息
INTERNIC whois.internic.net 互联网络信息中心
(美国洛杉矶市Marina del Rey镇)
.com,.net,.org,.biz,.info,.name
域名的注册信息(只给出注册代理公司)
ARIN whois.arin.net 美国Internet号码注册中心
(美国弗吉尼亚州Chantilly市)
全世界早期网络及现在的美国、加拿大、撒哈拉沙漠以南非洲的IP地址信息
APNIC whois.apnic.net 亚洲与太平洋地区网络信息中心
(澳大利亚昆士兰州密尔顿镇)
东亚(包括中国大陆和台湾)、南亚、大洋洲IP地址注信息
RIPE whois.ripe.net 欧州IP地址注册中心(荷兰阿姆斯特丹) 欧洲、北非、西亚地区的IP地址信息
TWNIC whois.twnic.net 台湾互联网络信息中心(中国台湾台北) .tw域名和部分台湾岛内IP地址信息
JPNIC whois.nic.ad.jp 日本互联网络信息中心(日本东京) .jp域名和日本境内的IP地址信息
KRNIC whois.krnic.net 韩国互联网络信息中心(韩国汉城) .kr域名和韩国境内的IP地址信息
LACNIC whois.lacnic.net 拉丁美洲及加勒比互联网络信息中心(巴西圣保罗) 拉丁美洲及加勒比海诸岛IP地址信息
AFRINIC whois.afrinic.net 非洲互联网络信息中心(毛里求斯注册) IP地址信息

 

如果通过WHOIS TCP 43原生接口查询

查询Domain域名一般要到对应的管辖注册商那里去查

查询IP可以使用 whois.radb.net 一般都能查到

# WHOIS查询方法 #

简单直接的telnet法

telnet whois.radb.net 43 输入要查询的ip 223.6.6.6 回车后返回查询结果,tcp连接自动关闭

[root@dev]# telnet whois.radb.net 43
Trying 198.108.0.18…
Connected to whois.radb.net.
Escape character is ‘^]’.
223.6.6.6
route: 223.6.0.0/16
descr: ChinaNet ZheJiang Province Customer
origin: AS4134
mnt-by: MAINT-AS4134
changed: liyj@cndata.com 20110321
source: SAVVIS
Connection closed by foreign host.

whois查询客户端工具

Linux OSX都有whois客户端

yum install whois

brew install whois
[root@dev ~]# whois -h whois.radb.net 223.6.6.6
route: 223.6.0.0/16
descr: ChinaNet ZheJiang Province Customer
origin: AS4134
mnt-by: MAINT-AS4134
changed: liyj@cndata.com 20110321
source: SAVVIS

以阿里公共dns的ip来看radb.net提供的数据够老的,没更新

另外一个查询服务器

[root@dev ~]# whois -h whois.cymru.com 223.6.6.6
AS | IP | AS Name
37963 | 223.6.6.6 | CNNIC-ALIBABA-CN-NET-AP Hangzhou Alibaba Advertising Co.,Ltd.,CN

Web版查询IP ASN

IPIP.NET

BGP.HE.NET

CYMRU

ASNMAP

IPLOOKUP

 WHOIS新标准RDAP协议  

新的WHOIS协议 RDAP协议

2015年CNNIC主导新的WHOIS标准

RFC 7480 ASCII,PDF HTTP Usage in the Registration Data Access Protocol (RDAP) A. Newton, B. Ellacott, N. Kong March 2015 Proposed Standard
RFC 7482 ASCII,PDF Registration Data Access Protocol (RDAP) Query Format A. Newton, S. Hollenbeck March 2015 Proposed Standard
RFC 7483 ASCII,PDF JSON Responses for the Registration Data Access Protocol (RDAP) A. Newton, S. Hollenbeck March 2015 Errata Proposed Standard
RFC 7484 ASCII,PDF Finding the Authoritative Registration Data (RDAP) Service M. Blanchet March 2015 Proposed Standard
RFC 7485 ASCII,PDF Inventory and Analysis of WHOIS Registration Objects L. Zhou, N. Kong, S. Shen, S. Sheng, A. Servin March 2015 Informational

RFC7480(基于HTTP的注册数据访问协议(RDAP)用法):https://www.rfc-editor.org/info/rfc7480

RFC7481(注册数据访问协议(RDAP)安全服务):https://www.rfc-editor.org/info/rfc7481

RFC7485(WHOIS注册对象目录与分析):https://www.rfc-editor.org/info/rfc7485

CNNIC技术专家主导制定互联网下一代WHOIS国际标准

https://www.arin.net/resources/rdap.html

RDAP协议IP WHOIS信息查询的应用

用python写的使用RDAP协议的IP WHOIS查询工具

IPWHOIS

NicInfo is a smart, command-line RDAP client

NicInfo

故障现象

苏州移动网络宽带在使用企业QQ的时候企业QQ群里发送图片失败,即便再次重发也不行,所有人在企业QQ群里面发图都不行

使用电信线路正常,普通QQ也没问题,企业QQ使用代理登陆正常

故障分析

使用网络抓包分析看到底是什么情况

由于使用wireshark无法指定进程抓包,也没法看到是哪个进程的包,虽然可以用没运行其他网络软件的系统来进行抓包分析。

我使用更方便的工具Microsoft Message Analyzer来抓包分析。(

Add Columns增加字段 PID,

找到你要抓包的网络软件相应的PID号,我这里企业QQ当前运行的PID是4100

View Filter 写

*Pid == 4100

还推荐一款可以指定进程抓包的软件SRSniffer

 

通过抓包得知,普通QQ私信和群发送图片和接收都是走的http协议

企业QQ私信发图片和接收图片走的http协议,企业QQ群发送图片和接收图片是走的UDP协议。

当在企业QQ群里发送图片的时候,同时观察抓包情况。

仔细观察分析发现,企业QQ发送图片会开始发送UDP数据包,腾讯的服务器ip无返回数据包。

把无返回数据包的ip进行ping和tracert操作,发现无法ping,也无法tracert,证明到这个ip网络是不通的。

我这里是routeros路由器,多线接入,所以把发现移动线路不通的ip策略路由到电信线路上去,这下企业QQ群图片就发送正常了。

我这里抓到的企业QQ群图片发送腾讯服务器IP地址为(这里肯定是不全的,只采集到部分发现的)

183.60.16.207
183.60.56.92
183.60.48.171
183.60.18.38
183.60.62.185

查了下ip归属,居然都是电信的ip,看来企业QQ这里有问题啊,为什么没解析到对应的线路上去。

还不知道有多少ip不通,我先治标把183.60.0.0/16全路由到电信线路上去了。

解决方案

1、如果自己可以做路由,把不通的ip走其他线路,如果只有一个线路可以用vpn的方式解决,走vpn里面去。治标。

2、立马联系移动的客户经理,联系到他们的网络软调,反馈这些ip不通的问题,做路由调通。治本。

3、在企业QQ上反馈,为什么企业QQ群发送图片,移动带宽线路,为什么也是电信ip的服务器,应该智能分配到移动线路的ip上去,或者说有BGP也行

 

 

后记2015年12月企业QQ群出现群里面接收图片有的能接收有的不能接收

更新最新版企业QQ无效,换了一个网络还是无效
通过抓包分析知道企业QQ群接收图片会先从183.60.62.185 udp 8000 去尝试取图片数据,多次尝试失败后会走http协议到另外的地址下载图片
除了慢以外,而且有时候图片也显示不了
办公网络 ping 183.60.62.185 不通, 用17ce多节点ping也不通
思路,通过dst-nat目标nat修改nat包实现重定向
需要重定向183.60.62.185 tcp 443 udp 80 到 另外一个企业QQ群图片服务器 183.60.18.38 tcp 443 udp 80
路由器使用的是routeros,所以直接改nat包实现重定向即可,命令为

/ip firewall nat
add action=dst-nat chain=dstnat comment=\
    "\C6\F3\D2\B5qq\C8\BA\CD\BC\C6\AC\B7\FE\CE\F1\C6\F7\D6\D8\B6\A8\CF\F2udp" \
    disabled=no dst-address=183.60.62.185 protocol=udp to-addresses=\
    183.60.18.38 to-ports=0-65535
add action=dst-nat chain=dstnat comment=\
    "\C6\F3\D2\B5qq\C8\BA\CD\BC\C6\AC\B7\FE\CE\F1\C6\F7\D6\D8\B6\A8\CF\F2tcp" \
    disabled=no dst-address=183.60.62.185 protocol=tcp to-addresses=\
    183.60.18.38 to-ports=0-65535

1、SDR是什么

字面意思,软件定义无线电。具体的可以在搜索引擎上看到。如果让我来简单的表述下那么就是。

SDR就是“电脑控制设置芯片参数,检波。”

 

2、RTL2832U+R820T电视棒是什么

USB DVB-T & RTL-SDR Realtek RTL2832U & R820T  这是螃蟹( Realtek)的一个芯片型号,原本是做电视棒芯片的。

后来被人发现这个芯片具有非常广的频率接收范围,然后就被用来做sdr应用了,rtl的sdr应用。

在这里看到一个表 https://gathering.tweakers.net/forum/list_messages/1524421/2

Tuner    Frequency range
Elonics E4000    52 - 2200 MHz with a gap from 1100 MHz to 1250 MHz (varies)
Rafael Micro R820T    24 - 1766 MHz
Fitipower FC0013    22 - 1100 MHz (FC0013B/C, FC0013G has a separate L-band input, which is unconnected on most sticks)
Fitipower FC0012    22 - 948.6 MHz
FCI FC2580    146 - 308 MHz and 438 - 924 MHz (gap in between)

那么RTL2832U+R820T接收的频率范围为 24 – 1766 MHz 非常给力啊。

 

3、驱动安装(第一步必须)

3.1、RTL2832U+R820T在windows上玩SDR驱动安装

玩sdr必须先通过这样的方式安装驱动支持,电视棒送的那个套件和驱动就不要管了!

高于等于Windows vista如 ,windwos 7、windows8.x使用

http://zadig.akeo.ie/downloads/zadig_2.1.0.exe

Windows XP 使用

http://zadig.akeo.ie/downloads/zadig_xp_2.1.0.exe

运行zadig>点击 Options > 勾选 List All Devices

img20140502001

Options》 List All Devices 勾选,就能看到所有设备了

选择RTL2832U > 点击 install Driver 即可,其他参数不要改动,我这里应为安装过了,所以是Reinstall Driver。

img20140502002

选择RTL2832U ,参数不用管,直接点 Install Device

 

驱动安装ok!

 

4、SDR软件

sdr的软件有很多款,如sdr#(sdrsharp)、WRplus、 HDSDR、SDR-RADIO-Pro_v2

我这里只推荐使用SDR-RADIO-Pro_v2,反正我喜欢这款,功能和界面最强。

4.1、SDR-RADIO-Pro_v2

http://v2.sdr-radio.com/Download.aspx下载。

2014年5月2日下载到的2.2最新版本为SDR-RADIO-Pro_v2.2b1735.exe,直接下一步下一步安装好。

安装好后桌面会出来三个图标,SDRConsole (V2)、SDRServer (V2)、SDR Data File Analyser。

SDR-RADIO-Pro_v2使用RTL2832U+R820T有2种方式,1、rtl-tcp搭桥方式和2、RTL扩展驱动直连,都需要三方扩展支持。

4.1.1、方法1使用rtl-tcp搭桥模式连接RTL2832U+R820T

下载rtl-sdr-release RelWithDebInfo.zip http://pan.baidu.com/s/11W6J0

运行rtl_tcp.exe 出现如下信息就表示ok。

img201405021

rtl_tcp

打开 SDRConsole (V2) 然后看图操作吧

SDR-RADIO-Pro_v2的使用慢慢琢磨吧。

4.1.2、方法2、RTL扩展驱动直连RTL2832U+R820T

下载 SDR-Radio.com.RTLUSB-20130209.zip

解压得到三个文件 libusb-1.0.dll 、rtlsdr.dll 、SDRSourceRTL2832U.dll。只需要复制rtlsdr.dll 、SDRSourceRTL2832U.dll这2个到

SDR-RADIO-Pro_v2的安装目录下即可。

打开 SDRConsole (V2)  后选设备和方法1相同,安装这2个dll后,下拉选择 里面除了RTL SDR (TCP)外,多了一个RTL SDR (USB) ,选他即可。

5、SDR# (SDR Sharp)

下载 http://sdrsharp.com/downloads/sdr-install.zip 解压后运行 install.bat

自动绿色安装生成目录sdrsharp 直接运行 SDRSharp.exe即可。

选择RTL-SDR / USB (注:同样支持RTL-SDR TCP 方式,方法如4.1.1), 配置参数勾选RTL AGC Tuner AGC,点击开始。

sdr# sdrsharp 使用rtl-sdr

sdr# sdrsharp 使用rtl-sdr

 

6、扩展资料

http://www.rtl-sdr.com/ rtl sdr资讯站,有大量的rtl sdr应用展示。

THE BIG LIST OF RTL-SDR SUPPORTED SOFTWARE 本篇文章介绍了好几款sdr软件配合RTL2832U+R820T使用

廉价软接收 RTL2832U+E4000/R820T 

把RTL2832改造成“专业”SDR接收棒

rtl-sdr, RTL2832电视棒追踪飞机教程(ADS-B)