CentOS Sniffer如何进行远程抓包

在CentOS上进行远程抓包常用方法如下：

1. 工具选择：常用tcpdump（命令行）或Wireshark（图形化），需先安装：

   sudo yum install tcpdump wireshark -y # 安装工具 

2. 开启混杂模式：设置网卡为混杂模式以捕获所有流量（需root权限）：

   sudo tcpdump -i eth0 -p # -p参数需配合网卡配置，部分场景需手动设置混杂模式 

3. 远程传输数据：
   • SSH隧道：通过SSH将抓包数据转发到本地，避免明文传输。
     步骤：
     ① 本地执行端口转发：

     ssh -L 12345:localhost:12345 user@centos_ip # 本地12345端口转发到远程 

     ② 远程运行抓包工具并输出到端口：

     sudo tcpdump -i eth0 -w - | nc -l -p 12345 # 通过netcat发送数据 

     ③ 本地接收数据：

     nc localhost 12345 > capture.pcap # 保存为pcap文件供分析 

   • 直接传输：用scp将抓包文件传输到远程：

     sudo tcpdump -i eth0 -w - | ssh user@remote "cat > /path/capture.pcap" # 实时传输 

4. 安全配置：
   • 启用防火墙放行端口（如12345）：

     sudo firewall-cmd --add-port=12345/tcp --permanent && sudo firewall-cmd --reload 

   • 使用SSH密钥认证，避免密码泄露。

注意：远程抓包需遵守法律法规，确保获得授权，避免非法监控。

参考来源：