Linux Sniffer如何配置使用

以下是Linux Sniffer的一般配置使用方法：

安装

• 使用包管理器安装（以tcpdump为例）：
  • Debian/Ubuntu系统：sudo apt update，sudo apt install tcpdump。
  • CentOS/RHEL系统：sudo yum install tcpdump。
• 从源代码编译安装（以netsniff为例）：
  • 安装依赖库：
    • Debian/Ubuntu系统：sudo apt-get update，sudo apt-get install build-essential libncurses5-dev zlib1g-dev gawk flex quilt git-lfs libssl-dev xz-utils -y。
    • CentOS/RHEL系统：sudo yum groupinstall "Development Tools" -y，sudo yum install ncurses-devel zlib-devel awk flex quilt git-lfs openssl-devel xz -y。
  • 下载并解压：git clone https://github.com/netsniff/netsniff.git，cd netsniff。
  • 编译安装：make，sudo make install。

配置

• 对于netsniff，其默认配置文件位于/etc/netsniff/netsniff.conf，可修改以下参数：
  • CAPTURE_ENABLED：1启用捕获，0禁用。
  • MODE：promisc为混杂模式，nonpromisc为非混杂模式。
  • INTERFACE：指定网络接口，如eth0、wlan0等。
  • FILTER：设置过滤器表达式，如"tcp and src host 192.168.1.100"。

启动

• 若从源代码编译安装，可使用sudo /usr/local/bin/sniff启动。
• 也可将工具添加到系统服务，使其开机自动运行（具体方法因发行版而异）。

使用

• 以tcpdump为例，sudo tcpdump -i eth0可在eth0接口上捕获数据包；sudo tcpdump -i eth0 port 80可过滤HTTP流量。
• 若使用netsniff，启动后可根据配置文件参数进行流量捕获和分析。