Ubuntu Sniffer如何进行网络测试 - 问答

Ubuntu Sniffer网络测试流程（以tcpdump和Wireshark为例）

Ubuntu系统下，常用Sniffer工具为tcpdump（命令行）和Wireshark（图形界面）。通过以下命令安装：

# 更新软件包列表
sudo apt update
# 安装tcpdump（命令行工具）
sudo apt install tcpdump
# 安装Wireshark（图形界面工具，需管理员权限）
sudo apt install wireshark

安装完成后，即可通过终端或图形界面启动工具。

捕获指定接口流量：通过-i参数指定网络接口（如eth0有线接口、wlan0无线接口），若不确定接口名称，可通过ip a或ifconfig命令查看。
```
sudo tcpdump -i eth0
```
捕获所有接口流量：使用any伪设备捕获所有网络接口的流量。
```
sudo tcpdump -i any
```
限制捕获数量：通过-c参数指定捕获的数据包数量（如捕获10个包后自动停止）。
```
sudo tcpdump -i eth0 -c 10
```
保存到文件：通过-w参数将捕获的数据包保存为.pcap文件（后续可用Wireshark分析）。
```
sudo tcpdump -i eth0 -w capture.pcap
```

过滤是Sniffer的核心功能，可减少无关流量，快速定位目标数据包。

按主机过滤：捕获与特定IP相关的流量（如192.168.1.100）。
```
sudo tcpdump -i eth0 host 192.168.1.100
```
按端口过滤：捕获特定端口的流量（如HTTP的80端口、HTTPS的443端口）。
```
sudo tcpdump -i eth0 port 80
```

按协议过滤：捕获特定协议的流量（如ICMP的ping请求、TCP流量）。

sudo tcpdump -i eth0 icmp  # 捕获ping请求
sudo tcpdump -i eth0 tcp    # 捕获TCP流量

组合过滤：使用and（与）、or（或）、not（非）组合条件（如捕获192.168.1.100的HTTP流量）。
```
sudo tcpdump -i eth0 host 192.168.1.100 and port 80
```

Wireshark支持更丰富的过滤语法，常见的有：

查看详细信息：通过-v（详细）、-vv（更详细）、-vvv（最详细）参数显示更多信息（如IP头部、TCP端口等）。
```
sudo tcpdump -i eth0 -vv
```
显示原始数据：通过-X参数以十六进制和ASCII格式显示数据包内容（如HTTP请求头）。
```
sudo tcpdump -i eth0 -X port 80
```
读取保存的文件：使用-r参数读取.pcap文件（如分析之前保存的capture.pcap）。
```
sudo tcpdump -r capture.pcap
```

捕获目标IP的流量，检查是否有请求（如ping的ICMP包、HTTP的SYN包），若无请求则可能是本地网络问题；若有请求无响应，则可能是目标主机或中间网络问题。
示例：捕获192.168.1.100的所有流量，查看是否有80端口的响应包。
```
sudo tcpdump -i eth0 host 192.168.1.100 and port 80
```

检查数据包的协议字段（如TCP的SYN、ACK标志位），若出现异常（如只有SYN无ACK，可能是连接未建立），则可能是协议实现问题。
示例：捕获TCP流量，过滤出SYN包（tcp.flags.syn == 1 and tcp.flags.ack == 0），查看是否有对应的ACK响应。
```
sudo tcpdump -i eth0 'tcp[tcpflags] & (tcp-syn) != 0 and tcp[tcpflags] & (tcp-ack) = 0'
```

0 赞

0 踩