Linux Sniffer能抓取哪些信息

Linux Sniffer可抓取的信息范围

一 可捕获的数据类型与内容

• 链路层信息：源/目的MAC地址、以太网类型等。
• 网络层信息：源/目的IP地址、TTL、协议类型（如TCP/UDP/ICMP）。
• 传输层信息：源/目的端口、TCP标志位（如SYN/ACK/RST/FIN）、序列号/确认号、窗口大小、UDP长度。
• 常见应用层会话与元数据：
  • DNS（查询/响应、域名、查询类型、返回记录）
  • HTTP/HTTPS（请求行/响应行、首部字段；HTTPS为加密流量，通常仅见元数据）
  • FTP（控制与数据通道的建立与传输）
  • SMTP/POP3/IMAP（邮件收发过程与命令/响应）
  • ICMP（ping、traceroute等诊断报文）
  • 过程可视化：如TCP三次握手与连接终止过程。
• 抓包工具通常支持按协议、主机、端口、方向等进行BPF过滤，并可保存为pcap文件供离线分析。

二 可见性与加密说明

• 未加密协议（如HTTP、FTP、SMTP、POP3、IMAP、DNS）可查看载荷内容（如请求URI、邮件头、命令与响应等）。
• 加密协议（如HTTPS/TLS、SSL）通常只能看到握手与元数据（如SNI、证书信息、握手类型），应用层内容被加密无法直接读取。
• 如需分析加密流量内容，需具备合法授权并在合规前提下使用相应解密手段。

三 无线与特殊协议场景

• 有线以太网：可捕获经过网卡的所有可达帧（在混杂模式下）。
• 无线网络：在具备兼容的无线网卡与驱动并处于监控模式时，可捕获802.11管理/控制/数据帧（如Beacon、Probe、关联/认证帧等）；普通网卡与驱动通常无法做到。
• 其他网络与安全协议：可观察到IPsec、ISAKMP、Kerberos、SNMPv3、SSL/TLS、WEP/WPA/WPA2等协议的握手与协商流量，但加密载荷内容仍不可读。

四 常用工具与快速示例

• 常用工具：tcpdump（命令行）、Wireshark/tshark（图形化与命令行）、ngrep（按文本模式匹配）、ssldump（解析SSL/TLS握手与记录）。
• 快速示例：
  • 抓取指定接口的HTTP流量并保存到文件：
    sudo tcpdump -i eth0 -n -s 0 -w http.pcap port 80
  • 读取并过滤DNS查询：
    tcpdump -r http.pcap -n udp port 53
  • 实时查看HTTP请求行：
    sudo tcpdump -i eth0 -A -s 0 ‘tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)’ | egrep -i “GET|POST”
    以上工具均支持丰富的过滤表达式与读写pcap能力，便于定位与取证分析。

五 合规与权限提示

• 抓包通常需要管理员/root权限，并需将网卡置于混杂模式以接收非本机目标的数据帧。
• 仅在获得明确授权的网络与主机上抓包，避免侵犯隐私与数据安全；对加密流量的内容解析须符合法律与合规要求。