Ubuntu Sniffer如何分析网络流量

Ubuntu Sniffer分析网络流量的常用方法与工具

在Ubuntu系统中，分析网络流量需借助专业工具捕获、过滤并解读数据包。以下是核心工具的使用指南及关键操作步骤，覆盖从基础到深入的分析需求：

Ubuntu下常用的网络嗅探工具包括：

命令行工具：tcpdump（经典数据包捕获）、tshark（Wireshark命令行版，支持复杂过滤）、iftop（实时带宽监控）、nethogs（进程级流量统计）；
图形化工具：Wireshark（功能全面，适合深度分析）、nload（实时流量趋势图）。

sudo apt update
sudo apt install tcpdump

通过**Berkely Packet Filter (BPF)**语法精准捕获目标流量：

按端口过滤（如HTTP流量，端口80）：
```
sudo tcpdump -i eth0 port 80
```
按协议过滤（如DNS流量，UDP端口53）：
```
sudo tcpdump -i eth0 udp port 53
```
按IP过滤（如来自192.168.1.100的流量）：
```
sudo tcpdump -i eth0 src 192.168.1.100
```

组合过滤（如192.168.1.100的HTTP请求）：

sudo tcpdump -i eth0 'src 192.168.1.100 and tcp port 80'

Wireshark是图形化网络协议分析器，能直观展示数据包的协议分层（如TCP/IP、HTTP）、头部信息（如源/目的MAC、IP地址）、负载内容（如HTTP请求头、POST数据）。

安装Wireshark：
```
sudo apt install wireshark
```
安装过程中需选择**“Allow non-superusers to capture packets”**（允许普通用户捕获数据包）。
使用步骤：
1. 打开Wireshark，选择目标网络接口（如eth0）；
2. 点击Start Capture开始捕获；
3. 输入过滤条件（如http、tcp.port == 80）缩小范围；
4. 点击数据包查看详细信息（如TCP三次握手过程、HTTP请求响应流程）。

iftop：实时显示每个连接的带宽使用率（发送/接收速率）、IP地址。
```
sudo apt install iftop
sudo iftop -i eth0
```
nethogs：显示每个进程的带宽占用（如Chrome、SSH），快速定位高流量应用。
```
sudo apt install nethogs
sudo nethogs eth0
```

通过cron定时任务定期捕获流量（如每小时保存一次）：

crontab -e

添加以下内容（每小时生成一个带时间戳的.pcap文件）：

0 * * * * /usr/sbin/tcpdump -i eth0 -w /var/log/capture/capture_$(date +\%Y\%m\%d_\%H).pcap -n -v

使用-n选项禁用主机名和端口名解析（减少资源消耗）：

sudo tcpdump -i eth0 -n port 80

使用-s 0选项捕获完整数据包（默认只捕获前96字节）：

sudo tcpdump -i eth0 -s 0 -w full_capture.pcap

通过上述工具与方法，可全面分析Ubuntu系统中的网络流量，快速定位问题（如带宽瓶颈、异常连接）或优化网络性能。

最新问答