如何利用Linux Sniffer分析流量

Linux Sniffer流量分析实操指南

一 工具与场景选择

• tcpdump：Linux 下最常用的命令行抓包与过滤工具，适合快速定位问题、在服务器上做轻量分析。
• Wireshark：图形化协议分析器，适合离线深度解析与可视化排查。
• Etherape：实时拓扑与流量可视化，便于观察主机间会话与热点。
• nload/iftop/NetHogs：按接口或进程观察带宽与连接占用，适合与抓包配合做“宏观→微观”的定位。
  以上工具覆盖了从命令行到图形化、从抓包到可视化的主流分析路径，可组合使用提升效率。

二 快速上手流程

• 步骤1 安装与确认权限
  在 Debian/Ubuntu 安装 tcpdump：sudo apt-get update && sudo apt-get install tcpdump；抓包通常需要 root 或具备 CAP_NET_RAW 能力的账号。
• 步骤2 选择网卡并开始捕获
  查看网卡：ip link；监听示例：sudo tcpdump -i eth0（将 eth0 替换为你的实际接口）。
• 步骤3 设置捕获过滤表达式（BPF）
  常见用法：
  • 仅看 HTTP：sudo tcpdump -i eth0 port 80
  • 只看某主机：sudo tcpdump -i eth0 host 192.0.2.10
  • 只看某主机的 TCP：sudo tcpdump -i eth0 host 192.0.2.10 and tcp
• 步骤4 保存到文件便于离线分析
  保存：sudo tcpdump -i eth0 -w capture.pcap；读取：tcpdump -r capture.pcap -nn -i eth0。
• 步骤5 图形化深入分析
  将 capture.pcap 导入 Wireshark，利用协议解析与显示过滤器做细粒度排查。
  以上流程覆盖了从安装、捕获、过滤到保存与离线分析的关键步骤，适合大多数日常排障与安全分析场景。

三 高效过滤与典型分析场景

• 过滤建议（BPF 语法要点）
  • 按协议/端口：port 443、tcp port 22
  • 按主机/网段：host 10.0.0.5、net 192.168.1.0/24
  • 按方向：src host 10.0.0.5、dst port 53
  • 组合与取反：host 10.0.0.5 and not port 22、tcp or udp
• 典型分析场景与命令示例
  • 故障排查（TCP 建连异常）
    捕获 SYN/ACK/RST 观察握手是否完成：sudo tcpdump -i eth0 -nn 'tcp[tcpflags] & (tcp-syn|tcp-ack|tcp-rst) != 0' -c 20
  • 可疑 HTTP 行为（SQL 注入/XSS 线索）
    抓取 HTTP 并检查可疑关键字：sudo tcpdump -i eth0 -A -s 0 'tcp port 80 and (http.request or http.response)' | egrep -i "('|union|select|script|alert)"
  • 异常流量识别（DDoS/扫描）
    观察突发大流量或异常密集连接：sudo tcpdump -i eth0 -nn 'tcp[tcpflags] & tcp-syn != 0' | wc -l（统计 SYN 数量变化）
  • 带宽占用定位（配合 nload/iftop/NetHogs）
    先用 iftop -P 或 nload 找到异常主机/进程，再用 sudo tcpdump -i eth0 host <IP> 聚焦分析。
    这些过滤与分析模式可快速从“宏观异常”收敛到“具体会话/请求”，提升定位效率。

四 异常检测与性能影响控制

• 建立基线并做统计对比
  以正常时段的 带宽、协议占比、响应时延、连接速率 为基线；出现异常偏差（如突发高密度包、非典型协议调用）时触发告警。
• 控制抓包规模与成本
  使用 BPF 过滤 只抓取目标流量；必要时限制抓包时长或包数（如 -c 1000）；对大文件用 tcpdump -r capture.pcap -nn | less 分页查看；对高负载环境，优先短时点抓包或采样分析。
• 合法合规与最小化原则
  仅在授权范围内抓包与分析，避免采集敏感明文数据；对离线分析文件设置合适的访问权限。
  以上做法在保障准确性的同时，兼顾资源占用与合规性要求。

五 进阶与扩展

• 可视化与取证
  使用 Wireshark 的显示过滤器与协议解析做深度分析；用 Etherape 观察主机会话拓扑与热点；需要取证时可用 NetworkMiner 做被动解析与文件提取。
• 源码级嗅探器与自定义处理
  对性能或定制化有要求时，可编译 netsniff-ng 套件：git clone https://github.com/netsniff/netsniff-ng.git && cd netsniff-ng && ./configure && make && sudo make install，在 /etc/netsniff-ng/netsniff-ng.conf 中配置接口、混杂模式与过滤器，实现更灵活的捕获与处理。
  这些扩展工具适合在复杂网络、取证与性能分析场景中进一步提升能力。