Linux Sniffer如何进行数据包过滤和分析

数据包过滤

• 命令行工具过滤：使用tcpdump或tshark时，通过指定过滤表达式筛选数据包。例如：
  • sudo tcpdump -i eth0 'tcp src port 80'：捕获eth0接口上源端口为80的TCP流量。
  • sudo tshark -i eth0 -f 'ip.dst 192.168.1.100 && udp'：过滤目标IP为192.168.1.100的UDP流量。
• 图形化工具过滤：Wireshark等工具可在捕获界面直接输入过滤条件，如http、ip.addr == 10.0.0.1等。

数据包分析

• 协议解析：工具自动解析数据包协议字段（如IP、TCP/UDP端口、协议类型），以表格或树状结构展示。
• 统计分析：通过工具内置功能查看流量统计，如包数量、大小、传输速率等，识别异常流量。
• 内容查看：图形化工具可直观显示数据包载荷内容，命令行工具可通过-A（ASCII格式）或-X（十六进制+ASCII）选项查看。