Linux Sniffer如何配置与使用

以下是Linux Sniffer的一般配置与使用方法：

安装

• 使用包管理器：在Debian/Ubuntu系统中，可安装Wireshark等工具，如sudo apt-get install wireshark；在CentOS/RHEL系统中，也可通过类似命令安装相关工具包。
• 从源代码编译安装：适用于部分特定Sniffer工具。以netsniff为例，需先安装依赖库，然后下载源代码、编译安装，具体命令如下：
  • 安装依赖库：
    • Debian/Ubuntu：sudo apt-get update；sudo apt-get install build-essential libncurses5-dev zlib1g-dev gawk flex quilt git-lfs libssl-dev xz-utils -y
    • CentOS/RHEL：sudo yum groupinstall "Development Tools" -y；sudo yum install ncurses-devel zlib-devel awk flex quilt git-lfs openssl-devel xz -y
  • 下载并编译安装：
    • git clone https://github.com/netsniff/netsniff.git；cd netsniff；make；sudo make install

配置

以netsniff为例，其默认配置文件位于/etc/netsniff/netsniff.conf，可修改以下参数：

• 启用/禁用捕获：CAPTURE_ENABLED1或CAPTURE_ENABLED0。
• 捕获模式：MODEpromisc（混杂模式）或MODEnonpromisc。
• 接口：如INTERFACEeth0或INTERFACEwlan0。
• 过滤器表达式：例如FILTER "tcp and src host 192.168.1.100"。

使用

• 启动：对于netsniff，可使用sudo /usr/local/bin/sniff命令启动；也可将其添加到系统服务中实现开机自动运行。
• 捕获数据包：以tcpdump为例，在eth0接口上捕获数据包的命令为sudo tcpdump -i eth0。
• 过滤数据包：可在命令中添加表达式，如sudo tcpdump -i eth0 port 80，用于捕获HTTP流量。
• 保存与分析：使用sudo tcpdump -i eth0 -w capture.pcap将数据包保存到文件，之后可用Wireshark等工具打开分析。