Ubuntu Sniffer使用技巧

以下是Ubuntu Sniffer（以Wireshark为例）的使用技巧：

1. 安装工具

   • 通过PPA安装Wireshark（推荐最新版）：

     sudo add-apt-repository ppa:wireshark-dev/stable  
     sudo apt update && sudo apt install wireshark  
     

     安装时勾选“允许非root用户捕获数据包”。

2. 基础捕获操作

   • 查看可用网卡：ip link show 或 ifconfig。
   • 启动Wireshark，选择网卡后点击“Start”开始捕获。
   • 停止捕获后，可通过“File”→“Save”保存为.pcap文件供后续分析。

3. 高效过滤技巧

   • 捕获时过滤：启动时直接输入过滤表达式，如tcp port 80（仅捕获HTTP流量）。
   • 显示时过滤：在捕获界面输入过滤条件，如ip.src == 192.168.1.1（仅显示指定IP的数据包）。

4. 性能优化

   • 限制捕获数量：通过-c参数设置最大捕获包数，如sudo tcpdump -i eth0 -c 100。
   • 调整缓冲区大小：在Wireshark中通过“Edit”→“Preferences”→“Capture”增大缓冲区，减少丢包。

5. 远程监控（可选）

   • 通过SSH连接远程Ubuntu系统，运行Wireshark捕获数据。
   • 注意：远程传输数据需加密，避免敏感信息泄露。

6. 安全与合规

   • 仅捕获授权网络的数据，避免侵犯隐私。
   • 使用后及时关闭监听，删除敏感数据。

工具选择：

• 图形化界面：Wireshark（功能全面，适合新手）。
• 命令行工具：tcpdump（轻量级，适合批量处理）。

参考来源：