温馨提示×

CentOS Sniffer怎么排查

小樊
32
2026-07-08 23:38:21
栏目: 智能运维

在 CentOS 上排查网络问题常见用到 抓包/嗅探(Sniffer) 工具,最常见的是 tcpdump,也可结合 Wireshark、ss、netstat、nload 等。下面按排查思路 + 常用命令给你一个实战总结。


一、确认是否是“嗅探/抓包”需求

先明确你在排查什么:

  • ✅ 网络慢 / 丢包
  • ✅ 某个端口是否通
  • ✅ 异常流量 / 攻击
  • ✅ 应用无法访问
  • ✅ 是否有“嗅探”行为(被监听)

二、最常用:tcpdump(CentOS 标配)

1️⃣ 安装

yum install -y tcpdump

2️⃣ 查看网卡

ip addr
# 或
ifconfig

三、常见排查场景命令

✅ 1. 抓所有流量(谨慎)

tcpdump -i eth0

✅ 2. 抓指定端口(如 80)

tcpdump -i eth0 port 80

✅ 3. 抓指定 IP

tcpdump -i eth0 host 192.168.1.10

✅ 4. 抓某个 IP + 端口

tcpdump -i eth0 host 192.168.1.10 and port 3306

✅ 5. 保存到文件(用于 Wireshark 分析)

tcpdump -i eth0 -w traffic.pcap

拷贝到本地:

scp traffic.pcap your_pc:/tmp/

四、排查网络异常常用参数

查看数据包内容(ASCII)

tcpdump -A -i eth0 port 80

显示详细信息

tcpdump -vv -i eth0

限制抓包数量

tcpdump -c 100 -i eth0

五、是否被“嗅探”(被监听)

CentOS 本身是安全的,但要排查是否有人在做 Sniffer:

1️⃣ 查看网卡是否处于混杂模式

ip link show eth0

如果有:

PROMISC

说明网卡被设为混杂模式(可能被嗅探)

2️⃣ 检查进程

ps aux | grep tcpdump
ps aux | grep wireshark

3️⃣ 检查定时任务

crontab -l
cat /etc/crontab

六、辅助排查工具(强烈推荐)

✅ 1. ss(替代 netstat)

ss -antp

✅ 2. 查看连接数

ss -s

✅ 3. 实时流量

yum install -y nload
nload

✅ 4. 网络错误

ip -s link

七、如果你要分析攻击/异常流量

推荐组合:

tcpdump -i eth0 -nn -c 1000 | grep SYN

或:

netstat -an | grep :80 | wc -l

八、给你一个完整排查示例

问题:80 端口访问慢

# 1. 抓包
tcpdump -i eth0 port 80 -w web.pcap

# 2. 检查连接
ss -antp | grep :80

# 3. 查看流量
nload

# 4. 分析抓包文件
wireshark web.pcap

九、你可以继续问

你可以直接告诉我:

  • CentOS 几版本?
  • 云服务器还是物理机?
  • 具体报错或现象?
  • 是否是安全事件?

我可以给你 一步一步的排查命令,甚至帮你 分析 tcpdump 输出

0