Linux Sniffer能监控哪些端口

Linux Sniffer可监控的端口范围与原理

结论与范围

• 在开启网卡的混杂模式后，Linux 上的嗅探器（如 tcpdump、Wireshark、dsniff 等）可以捕获经过指定网络接口的所有流量，因此理论上可监控从0 到 65535的所有端口，涵盖TCP/UDP以及常见的ICMP/ARP等协议报文。是否能“看到”某个端口，取决于是否有流量经过该接口、是否匹配你的过滤条件，以及是否有权限与合适的抓包点。

可监控与不可监控的典型场景

• 同一二层网段/广播域内：网卡置于混杂模式即可看到该网段内各主机之间的通信，能监控到绝大多数端口的流量（TCP/UDP/ICMP 等）。这是嗅探最常见、最有效的场景。
• 跨网段/经过路由：嗅探器通常只能看到进入本机网卡的流量。要监控远端网段的端口，需要在路径上的网关/镜像端口/分光等位置部署抓包点，或使用远程抓包/集中采集方案。
• 加密流量：嗅探能看到加密报文的存在与元数据（如源/目的 IP、端口、协议），但无法解密应用层内容（如 HTTPS、SSH 等）。

常用工具的端口过滤示例

• 抓取单一端口（如 80/TCP）：
  • tcpdump: sudo tcpdump -i any ‘tcp port 80’
• 抓取多个端口（如 80,443）：
  • tcpdump: sudo tcpdump -i any ‘tcp port 80 or tcp port 443’
• 抓取端口区间（如 1000–2000）：
  • tcpdump: sudo tcpdump -i any ‘tcp portrange 1000-2000’
• 抓取 UDP 特定端口（如 53/DNS）：
  • tcpdump: sudo tcpdump -i any ‘udp port 53’
• 抓取所有端口（全量抓包，慎用）：
  • tcpdump: sudo tcpdump -i any -s 0 -w all.pcap 说明：上述命令基于BPF 过滤表达式，可按需组合协议、方向（src/dst）、主机、端口等条件，精确限定监控范围。

合规与性能提示

• 合法合规：抓包涉及通信内容，务必在获得明确授权的网络与主机上操作，避免触犯法律与合规要求。
• 性能与稳定性：在高流量环境建议限定接口与端口、使用合适的抓包文件大小与环形缓冲、必要时采用硬件加速或更高效的采集链路，以降低丢包与性能压力。