CentOS下Sniffer能捕获哪些数据包

可捕获的数据包范围

• 在 CentOS 上，使用如 tcpdump、dumpcap/tshark 等嗅探器并开启网卡混杂模式后，默认可捕获经过指定接口的以太网数据帧（链路层），进而解析上层的 IP 流量。可覆盖的常见协议与场景包括：
  • 链路层与网络层：以太网帧、ARP/RARP、IPv4/IPv6。
  • 传输层：TCP、UDP、ICMP/ICMPv6（如 ping、traceroute 的探测报文）。
  • 常见应用层：DNS、HTTP/HTTPS、FTP、SMTP/POP3/IMAP、Telnet 等明文或常见协议会话。
  • 抓包工具支持通过 BPF 过滤表达式精确筛选，例如按协议、端口、主机进行捕获。

受链路与设备限制的内容

• 无线网卡抓包：有线以太网接口可稳定捕获链路层帧；若需在 Wi‑Fi 上抓取 802.11 管理/控制帧（如 Beacon、Probe Request/Response），通常需要支持监控模式的无线网卡与相应驱动，并使用支持 802.11 的抓包工具；普通抓包模式往往只能获取“去往本机”的数据帧。
• 加密流量：对 SSL/TLS、SSH、IPsec 等加密会话，嗅探器能看到连接元数据（如 源/目的 IP、端口、协议、握手与证书元数据），但无法解密应用层载荷内容；是否能获取握手细节取决于工具与抓包点。
• 交换机环境：在普通交换网络中，网卡默认只接收发往本机的帧；要观察其他主机流量，需开启混杂模式，或在交换机上配置端口镜像/SPAN将目标流量复制到抓包接口。

常用工具与快速示例

• 常用工具：tcpdump（命令行抓包与过滤）、dumpcap/tshark（Wireshark 命令行与图形化分析）、ngrep（按正则匹配负载内容）。
• 示例命令：
  • 抓取所有接口前 100 个包：sudo dumpcap -i any -c 100 -w capture.pcap
  • 抓取 eth0 上端口 80 的流量：sudo tcpdump -i eth0 port 80 -w http.pcap
  • 抓取主机 192.168.1.10 的 DNS 查询：sudo tshark -i eth0 -f “udp port 53” -Y “ip.addr==192.168.1.10”

合规与权限提示

• 运行嗅探器通常需要管理员权限（如 root），并可能涉及对网卡混杂模式的设置；在云环境或受管网络中，可能受安全策略/合规要求限制。请仅在获得授权的网络与主机上开展抓包，避免侵犯隐私或违反法律法规。