如何利用Linux Sniffer分析网络流量

利用Linux Sniffer分析网络流量需掌握工具使用、流量捕获与分析方法，以下是关键步骤及工具应用：

一、核心工具选择

• 命令行工具
  • tcpdump：轻量级，支持实时抓包、过滤和保存为.pcap文件，适合服务器环境。
  • tshark：Wireshark的命令行版本，提供更强大的协议解析和过滤功能。
• 图形化工具
  • Wireshark：支持多协议解析、实时流量分析和可视化，适合深度排查。
  • Etherape：以图形化方式展示协议流量统计，适合快速定位异常。

二、基础操作流程

1. 安装工具

   • Debian/Ubuntu系统：

     sudo apt update && sudo apt install tcpdump wireshark tshark  
     

   • CentOS/RHEL系统：

     sudo yum install tcpdump wireshark tshark  
     

2. 捕获网络流量

   • 指定接口：

     sudo tcpdump -i eth0  # 替换为实际网卡名（可用`tcpdump -D`查看）  
     

   • 基础过滤：
     • 按IP：sudo tcpdump host 192.168.1.100
     • 按端口：sudo tcpdump port 80（HTTP）或port 443（HTTPS）
     • 按协议：sudo tcpdump icmp（Ping请求）
   • 保存数据：

     sudo tcpdump -i eth0 -w traffic.pcap  # 保存为pcap文件，供后续分析  
     
     

3. 实时分析流量

   • tcpdump实时显示：

     sudo tcpdump -i eth0 -n -vv  # -n禁用域名解析，-vv显示详细协议信息  
     

   • Wireshark图形化解析：
     打开.pcap文件，通过“过滤器”输入条件（如http.request.method == "GET"）快速定位特定流量。

三、高级分析技巧

• 流量统计与异常检测
  • 使用tcpdump -c 100限制抓包数量，避免文件过大。
  • 通过tcpdump -i eth0 -w output.pcap -W 5 -C 100实现按大小轮转抓包，适合长期监控。
  • 结合awk或grep分析.pcap文件中的特定字段（如源IP、端口）。
• 协议深度解析
  • 用Wireshark的“Follow TCP Stream”功能还原HTTP会话，排查请求/响应异常。
  • 通过tcpdump -A -s0以ASCII格式显示数据包载荷，分析应用层协议（如HTTP头部）。

四、注意事项

• 权限与合规：需使用sudo或root权限，确保抓包行为符合法律法规。
• 性能影响：高频抓包可能占用CPU/内存，建议限制抓包时长或数量，生产环境优先在镜像端口抓包。
• 隐私保护：避免在公网直接分析敏感数据，离线分析时删除原始.pcap文件。

参考来源：[1,2,3,4,6,7,8,9,10,11]