Linux Sniffer在安全审计中的典型用途
一 核心用途
二 常见嗅探器与适用场景
| 工具 | 关键能力 | 典型审计场景 |
|---|---|---|
| tcpdump | 命令行抓包、BPF过滤、文件日志、可脚本化 | 快速排查与批量采集,服务器/容器现场取证,配合基线脚本做自动化巡检 |
| Wireshark | 图形化深度解析、协议统计与图表、团队协作 | 复杂协议问题定位、可疑会话重构、审计报告与可视化展示 |
| Etherape | 实时拓扑与流量可视化 | 宏观流量画像、热点主机/协议识别、异常通信簇发现 |
| Ettercap | 嗅探与中间人、ARP欺骗测试 | 红队/蓝队演练、ARP欺骗与DNS劫持场景验证、访问控制有效性评估 |
| Tcpreplay | 流量回放 | 复现历史攻击流量、验证检测规则与防护设备有效性 |
| linsnoop | 终端会话键盘/屏幕记录(Unix98 ptmx/pts) | 高敏操作审计、命令行会话回溯(需严格授权与合规) |
| WiFi 嗅探(监听模式) | 802.11管理/控制/数据帧捕获 | 无线环境审计、未授权AP/客户端发现、弱加密与异常行为检测 |
| 以上工具在Debian/主流Linux环境均可部署,适配从命令行到图形化的不同审计需求。 |
三 快速上手示例
sudo tcpdump -i eth0 -nn -s 0 -w host_10.0.0.5.pcap host 10.0.0.5sudo tcpdump -i eth0 -nn -s 0 host 10.0.0.5 and tcptshark -r traffic.pcap -Y 'http.request and http contains "password"' -T fields -e http.host -e http.request.uritcpreplay -i eth0 traffic.pcap
以上命令仅抓取必要流量并写入文件,便于后续分析与归档。四 合规与部署要点