Ubuntu Sniffer能分析哪些应用流量

Ubuntu 嗅探器可分析的应用流量范围

概念澄清

• Ubuntu Sniffer并非单一产品名，通常指运行在Ubuntu上的嗅探/抓包工具（如tcpdump、Wireshark）。这类工具依托libpcap捕获网卡流量，能解析从链路层到应用层的多种协议，具体可视工具与协议支持而定。

可分析的常见应用层流量

• 网页与 API：捕获HTTP/HTTPS请求与响应；HTTP明文可见，HTTPS为TLS/SSL加密，通常只能看到握手与元数据（如 SNI、证书），内容不可读。
• 文件传输：FTP（控制与数据通道）、SFTP/SSH（若未加密则内容可见，SSH为加密流量）。
• 电子邮件：SMTP、POP3、IMAP（明文协议可查看头部与正文；使用 STARTTLS/SSL 时内容加密）。
• 域名解析：DNS（查询与应答，含查询名、类型、响应等）。
• 即时通信与协作：基于TCP/UDP的聊天、文件传输与信令流量（如 XMPP、SIP 等，取决于工具是否内置解析器）。
• 远程管理与监控：SSH、RDP、VNC、SNMP等管理/监控协议流量。
• 网络诊断与连通性：ICMP（ping、traceroute 使用的报文）。
• 其他基于 TCP/UDP 的自定义或专用协议（能否“看懂”取决于是否有相应协议解析器）。

能力与局限

• 协议覆盖：可捕获并解析大量应用层协议，但加密流量（如TLS/SSL、SSH）的内容不可读，仅能看到握手与元数据。
• 无线流量：若使用支持802.11 a/b/g/n/ac的无线网卡与驱动，并处于监控模式，可分析 Wi‑Fi 层与上层协议；普通网卡通常仅能捕获本机或与本机通信的流量。
• 平台与库：Linux 嗅探器基于libpcap，原生适用于Linux/Unix；在Windows上需借助WinPcap/Npcap兼容层。
• 合法合规：抓包涉及隐私与合规，务必在授权范围内使用。

快速上手示例 tcpdump

• 捕获 HTTP（端口80）并显示简要信息：
  sudo tcpdump -i eth0 -A ‘tcp port 80’
• 抓取所有流量到文件以便后续分析：
  sudo tcpdump -i eth0 -w capture.pcap
• 读取并分析已保存的抓包文件：
  tcpdump -r capture.pcap -nn
  以上命令适用于在Ubuntu上使用tcpdump进行基础抓包与过滤。