Linux Sniffer怎样配置和使用

Linux Sniffer配置与使用指南

一常用工具与选择

二安装与快速上手

安装
- Debian/Ubuntu：sudo apt-get update && sudo apt-get install -y tcpdump wireshark
- RHEL/CentOS：sudo yum install -y tcpdump wireshark
快速上手 tcpdump
- 查看接口：ip link
- 抓取接口 eth0 的流量：sudo tcpdump -i eth0
- 抓取 HTTP 流量：sudo tcpdump -i eth0 port 80
- 保存到文件：sudo tcpdump -i eth0 -w capture.pcap
- 读取文件：tcpdump -r capture.pcap -nn -X
快速上手 Wireshark
- 选择网卡开始捕获，使用显示过滤器如 http、dns、tcp.port==80，结合“Follow → TCP Stream”查看会话。

三典型场景与命令示例

场景	工具	关键命令/步骤
实时排查某主机连通性	tcpdump	sudo tcpdump -i eth0 host 192.168.1.10 and icmp
抓取 HTTP 明文流量	tcpdump	sudo tcpdump -i eth0 -A -s 0 ‘tcp port 80’
抓取 DNS 查询	tcpdump	sudo tcpdump -i eth0 -nn -vvv port 53
长时间离线分析	tcpdump → Wireshark	sudo tcpdump -i eth0 -w capture.pcap；用 Wireshark 打开分析
局域网 ARP 嗅探与 MITM	Ettercap	将网卡设为混杂：sudo ifconfig wlan0 promisc；启用转发：echo 1 > /proc/sys/net/ipv4/ip_forward；sudo ettercap -G → Unified sniffing → 选 wlan0 → Hosts → Scan → List → 选 Target1/2 → ARP poisoning
入侵检测与规则告警	Snort	嗅探模式：snort -v -d -X；日志模式：snort -l /var/log/snort -b；IDS 模式：snort -c /etc/snort/snort.conf -l /var/log/snort

四过滤表达式与结果分析

BPF 过滤要点
- 按主机：host 192.168.1.10
- 按端口：port 80 或 tcp port 443
- 按协议：icmp、udp、tcp、arp
- 组合：src host 10.0.0.1 and dst port 22
常用分析动作
- 只看头部：tcpdump -i eth0 -q
- 显示 ASCII 内容：tcpdump -i eth0 -A -s 0
- 十六进制+ASCII：tcpdump -i eth0 -X -s 0
- 按时间截断：tcpdump -i eth0 -G 60 -w session_%Y%m%d_%H%M%S.pcap
攻击特征识别提示
- DDoS：异常大流量/突发 SYN 洪水迹象
- SQL 注入：HTTP 请求中出现可疑 SQL 片段
- XSS：HTTP 响应含可疑脚本标签
- 结合 iftop、NetHogs 等观察带宽与进程占用，辅助定位异常来源。

五合法合规与性能注意

合法合规
- 仅在获得明确授权的网络与主机上抓包；避免捕获、存储或传播敏感信息（口令、会话、隐私数据）。
- 在受管环境（公司/学校/云上 VPC）遵循安全与审计制度，必要时走变更审批流程。
性能与稳定性
- 限制抓包规模：使用 BPF 过滤、控制抓包时长或文件大小（如 -C/-W 轮转），避免磁盘打满。
- 避免在高负载核心链路长期全量抓包；必要时在镜像端口或TAP上采集，降低对业务影响。
- 无线抓包需网卡与驱动支持，且可能涉及监控模式与信道设置；不同环境差异较大，优先在受控实验环境验证。

最新问答