Linux Sniffer如何安装配置
导读:Linux Sniffer安装与配置指南 一 常用工具与选择 tcpdump:命令行抓包与过滤,系统自带或轻量安装,适合服务器与自动化场景。 Wireshark / tshark:图形化与命令行分析,协议解析最全,适合深度排障与协议学习。...
Linux Sniffer安装与配置指南
一 常用工具与选择
- tcpdump:命令行抓包与过滤,系统自带或轻量安装,适合服务器与自动化场景。
- Wireshark / tshark:图形化与命令行分析,协议解析最全,适合深度排障与协议学习。
- Go-Sniffer:按协议快速抓包(如 MySQL/Redis),上手简单,适合定位应用层问题。
- netsniff-ng:高性能抓包套件(含 netsniff、trafgen 等),适合流量生成与高速捕获。以上工具覆盖从快速排查到深度分析的主流需求。
二 安装步骤
- Debian/Ubuntu
- 安装 tcpdump:sudo apt-get update & & sudo apt-get install -y tcpdump
- 安装 Wireshark(含 GUI 与 tshark):sudo apt-get install -y wireshark
- 安装 Go(为 Go-Sniffer 准备):sudo apt-get install -y golang
- CentOS/RHEL
- 安装 tcpdump:sudo yum install -y tcpdump
- 安装 libpcap 开发库(抓包依赖):sudo yum install -y libpcap libpcap-devel
- 安装 Wireshark:sudo yum install -y wireshark(桌面环境可用 wireshark,服务器可用 tshark)
- 安装 Go(为 Go-Sniffer 准备):从 golang.org 下载并解压至 /usr/local,将 /usr/local/go/bin 加入 PATH
- 通用源码方式(netsniff-ng)
- 安装依赖:sudo apt-get install -y build-essential libncurses5-dev zlib1g-dev gawk flex quilt git-lfs libssl-dev xz-utils(或 yum 对应组/包)
- 编译安装:git clone https://github.com/netsniff/netsniff-ng.git & & cd netsniff-ng & & make & & sudo make install 以上命令覆盖主流发行版与常用嗅探器的安装路径,便于快速落地。
三 快速配置与使用
- tcpdump 最小可用流程
- 查看接口:ip link
- 抓包并显示:sudo tcpdump -i eth0 -nn -v
- 仅抓 HTTP:sudo tcpdump -i eth0 port 80
- 写盘分析:sudo tcpdump -i eth0 -w capture.pcap
- 读盘查看:tcpdump -r capture.pcap -nn -A
- Wireshark / tshark
- 图形界面:直接启动 wireshark,选择接口开始捕获,使用显示过滤器如 http、dns、ip.addr==x.x.x.x
- 命令行:tshark -i eth0 -f “tcp port 80” -Y “http.request” -w http.pcap
- Go-Sniffer(按协议抓包)
- 抓取 Redis:go-sniffer eth0 redis -p 6379 out.log
- 抓取 MySQL:go-sniffer eth0 mysql -p 3306
- netsniff-ng(高性能抓包)
- 抓包到文件:sudo netsniff-ng -i eth0 -o out.pcap -s 0 -b 0
- 读取分析:tcpdump -r out.pcap -nn -A 以上命令覆盖从命令行到图形化的常见用法,便于按场景选择。
四 过滤器与性能优化
- BPF 过滤表达式要点
- 按主机:host 192.168.1.10
- 按端口:port 443 或 port 80
- 按协议:tcp、udp、icmp
- 组合:tcp and src host 192.168.1.10 and dst port 3306
- 写入文件前过滤可显著降低磁盘与 CPU 压力。
- 性能与稳定性建议
- 优先使用 -s 0(抓取完整报文)或合理 snaplen,避免截断;必要时用 -w 写盘再离线分析。
- 远程抓包建议先本地落盘,再 scp/rsync 传回分析,减少 SSH 会话负载。
- 服务器场景优先 tcpdump/tshark;需要高吞吐时用 netsniff-ng;应用层问题用 Go-Sniffer 直达协议。
- 长时间抓包务必控制文件大小与数量(如按时间/大小轮转),并监控系统资源(CPU、内存、磁盘 I/O)。
五 合规与安全
- 抓包涉及明文敏感数据(如 HTTP、FTP、邮件、数据库明文等),务必在取得明确授权的网络与主机范围内进行。
- 生产环境抓包可能影响性能与稳定性,应选择低峰时段、限定接口与过滤规则,并最小化保留周期。
- 遵守当地法律法规与单位安全策略,禁止未授权的监听与分析。本文仅用于合规的运维与安全分析场景。
声明:本文内容由网友自发贡献,本站不承担相应法律责任。对本内容有异议或投诉,请联系2913721942#qq.com核实处理,我们将尽快回复您,谢谢合作!
若转载请注明出处: Linux Sniffer如何安装配置
本文地址: https://pptw.com/jishu/785934.html