Ubuntu Sniffer如何进行数据包过滤

ubuntu

小樊

2025-08-10 23:58:00

栏目: 智能运维

在Ubuntu中使用Sniffer（如tcpdump、Wireshark）过滤数据包的方法如下：

安装：

sudo apt-get update && sudo apt-get install tcpdump

基础过滤：

按协议过滤（如HTTP）：

sudo tcpdump -i eth0 port 80  # 捕获eth0接口的HTTP流量

按IP过滤（源/目标）：

sudo tcpdump src 192.168.1.100  # 捕获源IP为192.168.1.100的数据包  
sudo tcpdump dst 192.168.1.100  # 捕获目标IP为192.168.1.100的数据包

组合条件（如TCP+特定端口+主机）：

sudo tcpdump 'tcp and port 443 and host 192.168.1.100'  # 捕获该主机的HTTPS流量

保存到文件：

sudo tcpdump -i eth0 -w capture.pcap  # 保存为pcap文件供后续分析

安装：

sudo apt-get update && sudo apt-get install wireshark

过滤操作：
1. 启动后选择网络接口，点击“开始捕获”。
2. 在顶部过滤器栏输入规则（支持语法高亮和实时预览）：
  - http：过滤HTTP流量。
  - ip.addr == 192.168.1.100 && tcp.port == 22：过滤该IP的SSH流量。
  - udp and net 10.0.0.0/8：过滤10.0.0.0/8网段的UDP流量。
3. 按Enter应用过滤，结果会实时显示匹配的数据包。

以上方法可快速定位目标流量，结合工具的实时分析功能可有效排查网络问题。

最新问答