Linux Sniffer能否监控特定端口

可以监控特定端口

在 Linux 上常用的嗅探器（如 tcpdump、tshark、ngrep）都支持按端口过滤，能只抓取 TCP/UDP 的指定端口流量，并可结合主机、协议、方向等条件精确定位。若使用 Wireshark（桌面环境），同样支持端口过滤与图形化分析。

常用工具与示例

• tcpdump（命令行）

  • 抓取某接口的 80 端口（HTTP）：sudo tcpdump -i eth0 port 80
  • 仅抓取目标端口 443（HTTPS）：sudo tcpdump -i eth0 'tcp dst port 443'
  • 抓取 22 端口并显示十六进制/ASCII：sudo tcpdump -i eth0 -nn -X 'tcp port 22'
  • 抓取 3306 端口并保存到文件：sudo tcpdump -i eth0 -s 0 -w mysql.pcap 'port 3306'
  • 读取抓包文件：tcpdump -r mysql.pcap
  • 说明：-i 指定网卡，-n 不解析主机名，-nn 不解析端口名，-X 显示内容，-s 0 抓取完整包，-w 写文件，-r 读文件。

• tshark（Wireshark 命令行）

  • 抓取 80 端口：sudo tshark -i eth0 'tcp port 80'
  • 抓取 53 端口（DNS）：sudo tshark -i eth0 'udp port 53'
  • 抓取 8080 端口并限制包数：sudo tshark -i eth0 -c 100 'port 8080'
  • 说明：语法与 tcpdump 的 BPF 过滤表达式基本一致，便于在服务器上无界面抓包。

• ngrep（按端口与内容匹配）

  • 抓取 80 端口的 HTTP 流量：sudo ngrep -d eth0 port 80
  • 抓取 80 端口且包含 GET 的请求行：sudo ngrep -d eth0 -q '^GET .* HTTP/1\.[01]' port 80
  • 说明：适合快速按端口和内容模式筛选文本协议（如 HTTP、SMTP）。

• Wireshark（图形界面）

  • 显示过滤器（抓到包后筛选）：tcp.port == 80（TCP 任意方向）、tcp.dstport == 443（仅目的端口）、udp.port == 1234
  • 抓包前过滤（Capture Filter）：port 80 或 tcp port 80
  • 说明：显示过滤器与抓包过滤器语法不同；抓包前过滤更高效，显示过滤器便于事后细看。

实用过滤表达式

• 仅源端口或仅目的端口
  • 源端口 8080：tcp src port 8080
  • 目的端口 3306：tcp dst port 3306
• 同时限定主机与端口
  • 来自 192.168.1.10 的 80 端口：tcp port 80 and src host 192.168.1.10
• 同时监控 TCP/UDP 的同一端口
  • 端口 514（Syslog）：tcp port 514 or udp port 514
• 排除某主机
  • 端口 80 且排除 10.0.0.5：tcp port 80 and not host 10.0.0.5
• 端口范围
  • TCP 端口 1–79：tcp.port > 1 and tcp.port < 80
• 说明：以上为 BPF 语法（tcpdump/tshark），Wireshark 显示过滤器使用 ==、&&、||、! 等运算符。

使用要点

• 需要 root/具备 CAP_NET_RAW 能力 才能抓包；在服务器上建议用 sudo 运行。
• 选择正确网卡：如 eth0、ens33，或使用 -i any 监听所有接口（注意噪声更多）。
• 协议要分清：UDP 与 TCP 是不同协议，端口过滤需分别写或组合（如 tcp port 53 or udp port 53）。
• 抓包文件分析：命令行抓到的 .pcap 可用 tcpdump -r 或 Wireshark 打开，便于后续排查。
• 远程抓包可结合 SSH 执行命令并将结果重定向到本地分析，减少在目标机落盘与交互成本。