Debian Sniffer如何抓包

Debian 抓包实用指南

一 工具选择与准备

• 在 Debian 上，常用的“嗅探器”是 tcpdump（命令行）与 Wireshark（图形界面）。先用以下命令安装：
  • 安装 tcpdump：sudo apt-get update && sudo apt-get install -y tcpdump
  • 安装 Wireshark：sudo apt-get install -y wireshark
• 查看网卡名：ip a 或 tcpdump -D（如 eth0、wlan0、any）。抓包通常需要 root 或具备相应能力的账户（如加入 tcpdump 组）。

二 使用 tcpdump 抓包

• 基本实时抓包（指定网卡）：sudo tcpdump -i eth0 -nn
• 保存到文件（pcap）：sudo tcpdump -i eth0 -w capture.pcap
• 从文件读取分析：tcpdump -r capture.pcap -nn
• 常用选项
  • -c N：抓取 N 个包后退出
  • -s 0：抓取完整数据包（默认只抓前若干字节）
  • -v/-vv/-vvv：输出更详细的信息
  • -A/-X/-XX：以 ASCII/十六进制/含链路层 显示包内容
• 常用过滤表达式
  • 按主机：host 192.168.1.100
  • 按端口：port 80 或 tcp port 22
  • 按方向：src host 10.0.0.5 and dst port 443
  • 组合：tcp and not icmp、udp portrange 10000-20000
• 实用示例
  • 抓取 eth0 上 80/443 流量并写盘：sudo tcpdump -i eth0 -w web.pcap 'tcp port 80 or tcp port 443'
  • 抓取 ICMP（ping）：sudo tcpdump -i eth0 icmp
  • 抓取 ARP：sudo tcpdump -i eth0 arp
  • 抓取 10 个包并以 ASCII 查看：sudo tcpdump -i eth0 -c 10 -A

三 使用 Wireshark 分析

• 在 Debian 上安装后启动 Wireshark，打开前面保存的 .pcap 文件即可交互分析。
• 常用操作
  • 显示过滤：输入 http、dns、tcp.port==443 等
  • 会话统计：Statistics → Conversations
  • 追踪会话：Follow → TCP/UDP Stream
  • 协议分布与异常：Statistics → Protocol Hierarchy、Analyze → Expert Information

四 进阶与注意事项

• 权限与合规
  • 抓包需要提升权限；建议仅在自有网络或获得授权的主机上执行，避免侵犯隐私或违反法规。
• 性能与文件管理
  • 高负载下抓包会影响性能；必要时使用 -c 限制数量，或用 -C 10 将文件按 10MB 自动切分，便于后续分析。
• 无线抓包提示
  • 抓取 Wi‑Fi 管理/控制帧通常需要切换网卡到监控模式（如 iwconfig wlan0 mode monitor），且依赖网卡与驱动支持；普通抓包多聚焦于 以太网 或 监控模式下的无线数据帧。