如何解读Linux Sniffer的抓包结果

时间2025-12-01 23:04:04发布访客分类主机资讯浏览1142

导读：Linux Sniffer抓包结果解读指南一快速定位与过滤抓包与保存：使用tcpdump在接口eth0上抓取并写入文件，便于后续分析。示例：sudo tcpdump -i eth0 -w capture.pcap。需要查看内容时，可...

Linux Sniffer抓包结果解读指南

一快速定位与过滤

抓包与保存：使用tcpdump在接口eth0上抓取并写入文件，便于后续分析。示例：sudo tcpdump -i eth0 -w capture.pcap。需要查看内容时，可读取文件：tcpdump -r capture.pcap。为提升可读性，常用**-nn**（不解析主机名/端口名）、-v/-vv（增加细节）、-e（显示链路层头部）。
精准过滤：按主机、端口、协议与方向组合过滤，例如：sudo tcpdump -i eth0 host 192.0.2.10 and port 80、sudo tcpdump -i eth0 src 10.0.0.5 and tcp port 443、sudo tcpdump -i eth0 arp。这些表达式基于host、net、port、src、dst、tcp、udp、arp等关键字，并支持and/or/not逻辑组合。
图形化分析：将capture.pcap导入Wireshark进行协议分层、流追踪与字段级查看，适合复杂问题定位。

二读懂tcpdump输出字段

典型行解析（示例）：21:50:12.847509 eth0 < 8:0:20:79:5b:46 0:90:27:58:af:1a ip 60: h219.33357 > ice.telnet: S 12345:12345(0) ack 0 win 8760 (DF)
- 时间戳：21:50:12.847509；接口：eth0；方向：< （接收）；链路层：源MAC 8:0:20:79:5b:46 → 目的MAC 0:90:27:58:af:1a。
- 网络层：ip；长度：60 字节。
- 传输层：源端口 33357 → 目的端口 23（telnet）；标志：S（SYN）、ack 0（初始ACK号）、窗口：8760；分片：DF（不分片）。
TCP标志含义：S（SYN 建立连接）、F（FIN 关闭连接）、R（RST 重置）、P（PUSH 推送数据）、.（无标志）。
ARP示例：arp who-has 192.168.1.1 tell 192.168.1.10（请求）与 arp reply 192.168.1.1 is-at 00:11:22:33:44:55（响应），用于解析IP→MAC映射。

三常见异常模式与判定要点

半开连接洪泛（SYN Flood）：大量到某端口的SYN且极少或无对应的SYN-ACK，常见于DDoS/扫描。判定要点：高比例的仅含SYN的包、无后续ACK。
ARP欺骗：同一IP在短时间内对应多个MAC，或网关IP被错误MAC“抢答”。判定要点：连续出现多条arp reply < 网关IP> is-at < 异常MAC>。
扫描与探测：对多个端口或网段的SYN/UDP密集探测、异常的ICMP/分片报文。判定要点：短时间内跨端口/跨网段的高频握手或错误响应。
应用层攻击特征：HTTP 请求中出现可疑SQL片段（如' OR 1=1）、可疑XSS脚本标签等。判定要点：在HTTP载荷中检索关键字或异常编码。
带宽异常与突发：某主机/某协议的pps/带宽显著高于基线。判定要点：结合历史基线或阈值告警，观察持续时间与影响范围。

四高效排查流程与命令清单

五合规与性能注意

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！