Debian Sniffer如何使用

Debian系统下使用Sniffer工具（以常见工具为例）的步骤如下：

一、安装工具

以dsniff为例：

sudo apt update  
sudo apt install dsniff  # 安装dsniff  

或安装netsniff（需从源码编译）：

sudo apt install build-essential libncurses5-dev zlib1g-dev git  
git clone https://github.com/netsniff/netsniff.git  
cd netsniff  
make && sudo make install  # 编译安装  

二、配置工具（可选）

• dsniff：直接通过命令行参数设置过滤规则（如-Y 'tcp port 80'）。
• netsniff：修改配置文件/etc/netsniff/netsniff.conf，设置接口、过滤表达式等。

三、捕获流量

• dsniff：
  • 实时捕获并显示特定端口流量（如HTTP）：

    sudo dsniff -i eth0 -Y 'tcp port 80'  # 实时分析  
    

  • 保存捕获文件供后续分析：

    sudo dsniff -i eth0 -w output.pcap  # 保存为pcap文件  
    

• netsniff：

  sudo /usr/local/bin/sniff  # 启动，默认从配置文件读取参数  
  

四、分析流量

• 使用Wireshark打开pcap文件（图形化分析）：

  sudo apt install wireshark  
  wireshark output.pcap  # 查看数据包详情  
  

• 命令行分析（如dsniff）：

  dsniff -r output.pcap -T fields  # 显示数据包字段（源IP、协议等）  
  

注意事项

1. 权限要求：需使用sudo或root权限，因捕获数据包需访问网络接口。
2. 合规性：仅在合法授权范围内使用，避免捕获敏感信息。
3. 工具选择：
   • 新手友好：推荐Wireshark（图形界面，操作直观）。
   • 命令行偏好：可选用dsniff或tcpdump（轻量级，适合脚本化操作）。

参考来源：