Ubuntu Sniffer如何导出检测结果

Ubuntu 下导出嗅探结果的常用方法

一、使用 tcpdump 导出为 pcap 文件

• 捕获并保存为文件（后续可在图形化工具中分析或再导出）：
  • 基本用法：sudo tcpdump -i eth0 -w capture.pcap
  • 指定抓取长度与混杂模式：sudo tcpdump -i eth0 -s 0 -w capture.pcap -p（按需添加过滤表达式）
• 直接从终端导出文本摘要（便于快速分享或记录）：
  • 显示简要摘要：sudo tcpdump -i eth0 -q -n -t
  • 导出为可读文本：sudo tcpdump -i eth0 -nn -v > sniffer.txt
• 说明：tcpdump 是 Linux 常用的嗅探器，支持将原始数据包写入 .pcap 文件，便于后续用 Wireshark 等工具打开分析或生成更丰富的报告。

二、使用 Wireshark 导出多种格式

• 在 Ubuntu 上安装并启动 Wireshark：sudo apt-get update && sudo apt-get install wireshark
• 打开前面保存的 capture.pcap，通过菜单导出：
  • 文件 → 导出分组解析结果（纯文本/CSV/JSON）：适合做统计、审计或二次处理
  • 文件 → 导出特定分组：仅导出匹配显示过滤器的数据包
  • 统计 → 协议分级/会话/端点：生成图表或表格，再复制或导出为图片/CSV
• 说明：Wireshark 可从 .pcap 读取并提供可视化分析与多种导出方式，适合生成更友好的报告或图表。

三、使用 tshark 命令行批量导出

• 安装（若未随 Wireshark 安装）：sudo apt-get install tshark
• 直接导出为文本、CSV、JSON 等：
  • 纯文本摘要：tshark -r capture.pcap -q -z io,stat,1
  • 导出为 CSV：tshark -r capture.pcap -T fields -e frame.number -e ip.src -e ip.dst -e frame.len -E header=y -E separator=, > out.csv
  • 导出为 JSON：tshark -r capture.pcap -T json > out.json
• 说明：tshark 是 Wireshark 的命令行版本，适合在服务器或无图形界面环境下批量导出与自动化处理。

四、实用导出示例命令

• 抓取 eth0 上 HTTP(80) 流量并保存为 pcap：sudo tcpdump -i eth0 -w http_only.pcap port 80
• 抓取 10 秒 内流量并滚动保存多个文件（便于长时间采集后分段导出分析）：sudo tcpdump -i eth0 -w session_%03d.pcap -C 100 -W 10
• 用 tshark 导出会话列表为 CSV：tshark -r capture.pcap -T fields -e ip.src -e ip.dst -e tcp.srcport -e tcp.dstport -e frame.len -E header=y -E separator=, > sessions.csv
• 用 Wireshark 打开 capture.pcap，统计协议分布并导出为图片/CSV，用于报告呈现。

五、合规与安全提示

• 仅在合法授权的网络环境中进行嗅探与导出，避免侵犯隐私或违反法规；对导出的 .pcap 与报告文件设置访问控制，防止敏感信息泄露。