CentOS Sniffer自定义规则设置 - 问答

CentOS Sniffer自定义规则设置指南
在CentOS系统中，“Sniffer”通常指tcpdump（命令行网络分析工具）或netsniff（第三方源码级嗅探工具），以下分别介绍两者的自定义规则设置方法，涵盖基础过滤、配置文件调整及高级功能。

tcpdump是CentOS默认安装的网络嗅探工具（若未安装，可通过sudo yum install tcpdump安装），支持通过过滤表达式精准捕获所需流量。

过滤规则由协议、IP地址、端口、逻辑运算符组合而成，常见格式如下：

按协议过滤：tcp（TCP流量）、udp（UDP流量）、icmp（ICMP流量，如ping）。
按IP地址过滤：src host 192.168.1.100（源IP为192.168.1.100）、dst host 10.0.0.1（目标IP为10.0.0.1）、host 192.168.1.100（源或目标IP为192.168.1.100）。
按端口过滤：src port 80（源端口为80，如HTTP请求）、dst port 443（目标端口为443，如HTTPS响应）、port 22（源或目标端口为22，如SSH）。
逻辑组合：and（与）、or（或）、not（非），例如tcp and src port 80（TCP且源端口为80）、host 192.168.1.100 or host 10.0.0.1（源或目标为这两个IP之一）。

捕获eth0接口上所有HTTP流量（源端口80）：
```
sudo tcpdump -i eth0 'tcp src port 80'
```
捕获eth0接口上来自192.168.1.100的HTTPS流量（目标端口443）：
```
sudo tcpdump -i eth0 'src host 192.168.1.100 and tcp dst port 443'
```
捕获eth0接口上所有ICMP流量（ping请求/响应）：
```
sudo tcpdump -i eth0 'icmp'
```

保存捕获结果：使用-w选项将数据包保存到.pcap文件（后续可用Wireshark分析）：
```
sudo tcpdump -i eth0 -w capture.pcap
```
从文件读取规则：若需重复使用规则，可将规则写入配置文件（如/etc/tcpdump/tcpdump.conf），通过-F选项加载：
```
echo "tcp src port 80" | sudo tee /etc/tcpdump/tcpdump.conf
sudo tcpdump -i eth0 -F /etc/tcpdump/tcpdump.conf
```

netsniff是基于源码的网络嗅探工具（需手动下载编译），支持更灵活的配置文件管理，适合需要深度定制的场景。

安装依赖：编译前需安装开发工具及库文件：

sudo yum groupinstall "Development Tools" -y
sudo yum install ncurses-devel zlib-devel awk flex quilt git-lfs openssl-devel xz -y

下载与编译：从GitHub克隆netsniff仓库并编译安装：

git clone https://github.com/netsniff/netsniff.git
cd netsniff
make
sudo make install

配置文件中的关键参数及作用如下：

以上方法覆盖了CentOS下常见的Sniffer自定义规则场景，可根据需求选择合适的工具进行调整。

0 赞

0 踩