Ubuntu Sniffer能监控哪些端口
小樊
34
2025-12-08 00:12:20
Ubuntu 嗅探器可监控的端口范围与方式
核心结论
- 在 Ubuntu 上,常用的嗅探器(如 tcpdump、tshark)可以监控任意可达的 TCP/UDP 端口(0–65535)。默认不会限制端口范围,限制通常来自于你的过滤表达式、接口选择以及权限与安全策略。若未指定过滤条件,嗅探器会捕获所选接口上的所有端口流量。
常用工具的端口监控示例
- 使用 tcpdump
- 监控所有接口的 HTTP(80) 流量:sudo tcpdump -i any port 80
- 监控指定接口 eth0 的 SSH(22) 流量:sudo tcpdump -i eth0 ‘tcp port 22’
- 监控 DNS(UDP 53) 流量:sudo tcpdump -i eth0 udp and port 53
- 将捕获写入文件以便后续分析:sudo tcpdump -i eth0 -w capture.pcap
- 使用 tshark
- 列出可用接口:sudo tshark -D
- 监听指定接口(如索引为 6)的 SSH(22) 流量:sudo tshark -i 6 -f “tcp port 22”
- 说明:tshark 的 -f 采用 pcap 过滤语法,与 tcpdump 表达式兼容。
如何选择要监控的端口
- 明确目标协议与端口:例如 TCP 22(SSH)、TCP 80/443(HTTP/HTTPS)、UDP 53(DNS) 等。
- 组合过滤表达式:如 tcpdump -i any ‘tcp port 80 or udp port 53’ 可同时抓取 HTTP 与 DNS。
- 指定接口或监听所有接口:使用 -i any 捕获所有接口流量,或指定具体接口(如 eth0、ens3)以减少无关数据。
权限与安全注意事项
- 嗅探需要 管理员权限(sudo);同时需确保 SELinux/AppArmor 等安全机制允许抓包操作。
- 仅在 合法授权 的网络与主机上进行抓包,避免侵犯隐私或违反合规要求。
