Ubuntu Sniffer使用教程大全

Ubuntu 嗅探工具使用教程大全

一 工具总览与选型

• tcpdump：命令行抓包器，轻量、稳定，适合服务器与自动化脚本，配合 Wireshark 做深度分析。
• Wireshark：图形化协议分析器，强大的显示过滤与统计功能，适合交互式排障与取证。
• Go 版 sniffer（chenjiandongx/sniffer）：基于 gopacket/libpcap 的 TUI 工具，按进程/连接实时展示占用，便于定位“谁在发包”。
• nload/iftop/vnstat：面向带宽与流量统计的轻量工具，适合持续监控与基线观察。

二 快速上手 tcpdump

• 安装与权限
  • 安装：sudo apt-get update && sudo apt-get install -y tcpdump
  • 抓包需要提升权限（sudo 或具备 CAP_NET_RAW 能力）。
• 基础命令
  • 列出接口：sudo tcpdump -D
  • 抓取所有接口：sudo tcpdump -i any -n
  • 抓取指定接口：sudo tcpdump -i eth0 -n
  • 常用显示优化：-n（不解析主机名）、-v/-vv/-vvv（详细程度）、-X（显示数据链路/负载十六进制与 ASCII）。
• 保存与读取
  • 保存到文件：sudo tcpdump -i eth0 -w capture.pcap
  • 读取文件：tcpdump -r capture.pcap -n
• 常用过滤表达式
  • 按主机：host 192.168.1.10
  • 按端口：port 80 or port 443
  • 按协议：tcp、udp、icmp
  • 组合：tcp and src host 192.168.1.10 and dst port 80
• 性能与轮转
  • 限制包数：-c 1000
  • 限速抓包（每秒最多 1 个包）：-Q in -i any -w cap.pcap -W 10 -C 10 -G 1
  • 按时间轮转：-G 60 -W 5（每 60 秒一个文件，最多 5 个）
• 实用示例
  • 抓取 HTTP 明文流量：sudo tcpdump -i any -A -s 0 'tcp port 80 and (tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420)'（匹配 GET/POST 等 HTTP 方法）
  • 只显示 SYN 包：sudo tcpdump -i any 'tcp[tcpflags] & tcp-syn != 0' -n

三 Wireshark 图形化抓包与过滤

• 安装与权限
  • 稳定版 PPA 安装：

    sudo add-apt-repository ppa:wireshark-dev/stable
    sudo apt update
    sudo apt install -y wireshark
    

  • 安装向导中选择“Yes”以允许非超级用户抓包（会创建 wireshark 用户组，加入后可免 sudo 抓包）。
• 基本使用
  • 启动后选择网卡开始捕获；使用显示过滤器（Display Filter）如：
    • http、dns、tls
    • ip.addr == 192.168.1.10
    • tcp.port == 443
  • 常用统计：Statistics → Protocol Hierarchy、IO Graphs、Conversations。
• 与 tcpdump 配合
  • 现场快速抓包：sudo tcpdump -i any -w bug.pcap
  • 图形化分析：wireshark bug.pcap

四 Go 版 sniffer 按进程定位流量

• 适用场景：快速找出占用带宽的进程/连接（开发/运维排障利器）。
• 安装与运行
  • 安装依赖：sudo apt-get install -y libpcap-dev
  • 安装工具：go install github.com/chenjiandongx/sniffer@latest
  • 运行：sudo $GOPATH/bin/sniffer -i eth0（如未指定接口，会自动选择默认接口）。
• 常用提示
  • 权限不足请加 sudo；接口名可用 ip addr 或 ifconfig 查看。
  • 输出为 TUI，支持按键筛选与排序，便于定位异常连接与进程。

五 性能与带宽监控工具

• iftop：按连接显示实时带宽占用
  • 安装：sudo apt-get install -y iftop
  • 使用：sudo iftop -i eth0 -n -P
• nload：按网卡显示入/出带宽
  • 安装：sudo apt-get install -y nload
  • 使用：nload eth0
• vnstat：按日/月统计历史流量
  • 安装：sudo apt-get install -y vnstat
  • 使用：vnstat -l（实时）、vnstat -d（按日）、vnstat -m（按月）

六 入侵检测与进阶

• OSSEC HIDS：主机入侵检测与日志分析
  • 安装：sudo apt-get install -y ossec-hids ossec-hids-client
  • 启动：sudo systemctl start ossec-hids && sudo systemctl enable ossec-hids
  • 配置：/var/ossec/etc/ossec.conf（规则、日志收集、主动响应等）。
• 进阶抓包思路
  • 精准过滤以减少开销：如 tcp port 80 and host 10.0.0.5
  • 分段抓包与离线分析：先用 tcpdump -w 落盘，再用 Wireshark/tshark 深度分析。
  • 关注异常：大量 SYN、畸形包、异常 DNS/NTP 放大、可疑外连等。

七 合规与安全提示

• 仅在自有网络或取得明确授权的资产上抓包；避免捕获敏感明文数据（如 HTTP 登录、邮件内容）。
• 生产环境谨慎开启混杂模式与长时间抓包，注意磁盘空间与性能影响。
• 抓包文件可能包含隐私与合规风险，妥善存储与访问控制，必要时进行脱敏后再分析或分享。