CentOS Sniffer使用中注意什么

合规与权限

• 仅在获得明确授权的网络和设备上抓包，避免收集敏感信息（口令、令牌、个人数据），必要时对输出做脱敏与最小化保留。
• 抓包通常需要root或具备CAP_NET_RAW/CAP_NET_ADMIN能力的账户；为降低风险，优先采用sudo按需提权，避免长期以root运行。
• 远程分析时，优先通过SSH访问抓包主机，禁用不必要服务与端口，使用密钥认证并妥善管理审计日志。

部署与性能

• 选择正确的监听接口（如eth0/ens33），必要时启用混杂模式以观察经过接口的全部流量。
• 合理设置BPF过滤器（如仅抓取目标IP/端口/协议），显著降低CPU与内存压力，避免无谓的数据洪泛。
• 提升抓包稳定性：增大网卡ring buffer（如：ethtool -G ens33 rx 2048 tx 1024）、提高内核netdev_max_backlog（如：net.core.netdev_max_backlog=16384），并在高带宽环境评估MTU与巨帧配置。
• 在高负载场景，优先选用tcpdump/tshark进行轻量采集，必要时再联动Wireshark做深度分析。

数据安全与日志管理

• 将抓包文件（如**.pcap**）存入受限目录，设置最小权限（仅授权账户可读写），并配置日志轮转与定期清理策略，防止敏感数据长期留存。
• 对输出日志与配置文件实施访问控制与完整性校验，避免被未授权修改或泄露。
• 若需远程查看结果，使用SSH隧道或受控的只读导出，避免在公网直接暴露抓包服务或结果文件。

故障排查要点

• 抓不到预期流量：核对接口选择、混杂模式状态与VLAN/隧道配置；确认过滤器语法与目标IP/端口/协议是否匹配。
• 丢包与性能瓶颈：检查ring buffer与backlog是否过小、CPU/内存是否过载；必要时降低抓取范围或分时段采样。
• 解析异常：确认链路层封装（如802.1Q）、MTU与压缩/加密是否影响解析；可先用tcpdump -w落盘，再用Wireshark离线分析。

常用工具与命令示例

• 快速抓包并写盘：sudo tcpdump -i eth0 -w capture.pcap
• 读取与分析：tcpdump -r capture.pcap -nn -i eth0
• 精准过滤示例：sudo tcpdump -i eth0 'tcp and src host 192.168.1.100'
• 专用工具示例：MySQL Sniffer可针对3306端口解析SQL流量，便于定位数据库性能与异常查询。