Ubuntu Sniffer怎样监控网络活动 - 问答

Ubuntu Sniffer监控网络活动的常用方法

在Ubuntu系统中，监控网络活动可通过命令行工具（适合服务器环境）或图形化工具（适合桌面用户）实现，以下是具体步骤及工具介绍：

监控前需安装对应工具，Ubuntu通过apt包管理器即可完成安装：

tcpdump（命令行基础工具，捕获原始数据包）：
```
sudo apt update && sudo apt install tcpdump
```

Wireshark（图形化协议分析器，直观查看数据包细节）：

sudo apt install wireshark
# 安装时需勾选“Allow non-superusers to capture packets”以允许普通用户捕获流量

vnstat（历史流量记录，生成日报/月报）：

sudo apt install vnstat
sudo systemctl start vnstat && sudo systemctl enable vnstat  # 启动服务

使用tcpdump捕获所有网络接口的数据包（需sudo权限）：

sudo tcpdump -i any

常用选项：
-i eth0：指定监控eth0接口（替换为你的接口名，可通过ip a查看）；
-n：禁用域名解析（提升速度）；
-a：以ASCII格式显示数据包内容（便于查看明文信息）。

若只需监控某个接口（如eth0），直接指定接口名：

sudo tcpdump -i eth0

或使用iftop（更直观，显示实时带宽、连接IP及端口）：

sudo iftop -i eth0

将捕获的数据包保存为.pcap文件（Wireshark兼容格式），便于离线分析：

sudo tcpdump -i eth0 -w capture.pcap

读取文件：用tcpdump或Wireshark打开：

tcpdump -r capture.pcap  # 命令行查看
wireshark capture.pcap   # 图形化查看

通过**BPF（Berkeley Packet Filter）**语法过滤，减少无关流量，提升监控效率：

按端口过滤（如HTTP流量，端口80；HTTPS流量，端口443）：
```
sudo tcpdump -i eth0 port 80
```
按IP过滤（如监控某台主机的流量，如192.168.1.100）：
```
sudo tcpdump -i eth0 host 192.168.1.100
```

按协议过滤（如DNS流量，UDP端口53；FTP流量，端口21）：

sudo tcpdump -i eth0 udp port 53  # DNS查询
sudo tcpdump -i eth0 tcp port 21  # FTP控制连接

组合过滤（如192.168.1.100的HTTP流量）：

sudo tcpdump -i eth0 host 192.168.1.100 and port 80

打开Wireshark后，选择要监控的接口（如eth0），点击“Start”即可捕获流量。

核心功能：
- 过滤流量（如http、tcp.port == 80）；
- 查看数据包详情（协议头、载荷、TCP三次握手等）；
- 统计流量（如协议分布、IP流量占比）。

运行sudo iftop -i eth0，界面会显示：

运行nload，默认显示所有网络接口的：

0 赞

0 踩