Ubuntu Sniffer如何生成报告

Ubuntu Sniffer生成报告的通用流程
在Ubuntu系统中，“Sniffer”通常指tcpdump（命令行基础工具）、Wireshark（图形化协议分析器）等网络流量捕获工具。这些工具本身不直接生成结构化报告，但可通过“捕获流量→保存文件→用工具分析→导出/处理数据”的流程生成报告。以下是具体步骤：

1. 准备工作：安装Sniffer工具

首先需安装网络嗅探工具，Ubuntu通过apt包管理器即可完成安装：

sudo apt update && sudo apt install tcpdump wireshark

安装wireshark时，需勾选“Allow non-superusers to capture packets”选项，以允许普通用户捕获流量。

2. 捕获网络流量并保存为文件

使用tcpdump捕获指定接口的流量，并保存为.pcap文件（Wireshark兼容格式），便于后续分析：

sudo tcpdump -i eth0 -w capture.pcap

• -i eth0：指定监控的接口（如eth0、wlan0，可通过ip a命令查看可用接口）；
• -w capture.pcap：将捕获的流量保存到capture.pcap文件；
• 按Ctrl+C停止捕获。

可选过滤：为减少无关数据，可通过BPF（伯克利包过滤器）语法聚焦特定流量，例如：

• 捕获HTTP流量（端口80）：sudo tcpdump -i eth0 port 80 -w http_capture.pcap；
• 捕获特定IP（如192.168.1.100）的流量：sudo tcpdump -i eth0 host 192.168.1.100 -w ip_capture.pcap。

3. 用Wireshark分析并生成报告

Wireshark是生成可视化报告的核心工具，可通过以下步骤操作：

1. 打开捕获文件：启动Wireshark，点击“File→Open”，选择之前保存的capture.pcap文件；
2. 过滤关键流量：使用显示过滤器（Display Filter）聚焦需要报告的内容，例如：
   • 过滤HTTP请求：tcp.port == 80 && http.request；
   • 过滤SSH登录尝试：tcp.port == 22；
   • 过滤特定IP的流量：ip.addr == 192.168.1.100；
3. 导出报告：
   • 文本报告：点击“File→Export As→Plain Text File”，将过滤后的流量信息导出为.txt文件；
   • CSV报告：点击“File→Export Packet Dissections→As CSV”，选择需要导出的字段（如时间戳、源IP、目标IP、协议、长度），生成.csv文件（可用于Excel等工具进一步分析）；
   • PDF报告：点击“File→Print”，选择“Save as PDF”，将当前视图（如过滤后的流量列表、协议分布）保存为PDF文件。

4. 用tcpdump生成简单文本报告

若无需图形化界面，可通过tcpdump读取.pcap文件并输出文本信息，重定向到文件作为简单报告：

sudo tcpdump -r capture.pcap -nn > report.txt

• -r capture.pcap：读取捕获的.pcap文件；
• -nn：不解析主机名和端口名（提升速度）；
• > report.txt：将输出重定向到report.txt文件。

示例：过滤出源IP为192.168.1.100、目标端口为80的HTTP请求，并保存到报告文件：

sudo tcpdump -r capture.pcap src 192.168.1.100 and dst port 80 -A > http_requests.txt

• -A：以ASCII格式显示内容（便于查看HTTP请求中的明文信息，如GET/POST请求）。

注意事项

• 合法性：捕获网络流量需获得授权，避免侵犯他人隐私或违反法律法规；
• 存储空间：长期捕获流量会占用大量磁盘空间，建议用-c选项限制捕获包数量（如sudo tcpdump -i eth0 -c 100 -w short_capture.pcap，仅捕获100个包）；
• 权限问题：tcpdump和wireshark需要root权限运行，可通过sudo或将用户加入wireshark组（sudo usermod -aG wireshark $USER）解决。