如何將網絡數據包捕獲到MySQL

Question

我要爲WiFi（802.11）設計一個網絡分析儀 目前我使用tshark捕獲和解析WiFi幀，然後將輸出傳輸到perl腳本以存儲解析的信息到Mysql數據庫。

我剛剛發現我在這個過程中錯過了很多幀。我檢查和框架似乎丟失在管道（當輸出傳遞到perl以獲得在Mysql中） 這是怎麼回事

（Tshark）-------幀丟失 - --->（Perl的）-------->（MySQL的） 這是我怎麼管tshark的輸出腳本：

sudo tshark -i mon0 -t ad -T fields -e frame.time -e frame.len -e frame.cap_len -e radiotap.length | perl tshark-sql-capture.pl 

這是我使用Perl腳本的簡單的模板（tshark-sql-capture.pl）

# preparing the MySQL 
my $dns = "DBI:mysql:capture;localhost"; 
my $dbh = DBI->connect($dns,user,pass); 
my $db = "captured"; 

while (<STDIN>) { 
    chomp($data = <STDIN>); 
    ($time, $frame_len, $cap_len, $radiotap_len) = split " ", $data; 
    my $sth = $dbh-> prepare("INSERT INTO $db VALUES (str_to_date('$time','%M %d, %Y %H:%i:%s.%f'), '$frame_len', '$cap_len', '$radiotap_len'\n)"); 
    $sth->execute; 
} 

#Terminate MySQL 
$dbh->disconnect; 

任何可以幫助改善性能的想法是ap preciated.Or可能有一個可以做得更好的替代機制。 現在我的表現是50％，這意味着我可以將大約一半的數據包存儲在mysql中。

Answer 1

寫入管道的東西不會丟失，可能真正發生的是tshark嘗試寫入管道，但perl + mysql太慢而無法處理輸入，因此pipeb已滿，寫入將會阻塞tshark只是丟棄數據包。

瓶頸可能是MySQL或Perl本身，但可能是數據庫。檢查CPU使用情況，測量插入率。然後選擇更快的數據庫或寫入多個數據庫。您也可以嘗試批量插入並增加管道緩衝區的大小。

更新

while (<STDIN>) 

這種讀取一行到$_，那麼你忽略它。

Answer 2

您可以使用FIFO文件，然後讀取數據包並使用插入延遲插入到mysql中。

sudo tshark -i mon0 -t ad -T fields -e frame.time -e frame.len -e frame.cap_len -e radiotap.length > MYFIFO 

Answer 3

管道的問題，可以提高數據包捕獲與GULP http://staff.washington.edu/corey/gulp/

從手冊頁：

1) reduce packet loss of a tcpdump packet capture: 
     (gulp -c works in any pipeline as it does no data interpretation) 

     tcpdump -i eth1 -w - ... | gulp -c > pcapfile 
     or if you have more than 2, run tcpdump and gulp on different CPUs 
     taskset -c 2 tcpdump -i eth1 -w - ... | gulp -c > pcapfile 

     (gulp uses CPUs #0,1 so use #2 for tcpdump to reduce interference)