Ubuntu Sniffer配置方法

Ubuntu Sniffer配置方法
Sniffer（嗅探器）是網絡診斷和安全分析的常用工具，Ubuntu系統可通過多種工具實現數據包捕獲。以下是具體配置流程及注意事項：

一、常用Sniffer工具選擇

Ubuntu下常用的Sniffer工具包括：

• Wireshark：圖形化協議分析工具，功能全面，適合新手及復雜分析；
• tcpdump：命令行嗅探工具，輕量高效，適合服務器或腳本自動化；
• aircrack-ng：專注于無線網絡嗅探的工具集，需配合監控模式使用。

二、通用前置準備

1. 安裝基礎工具：
   無論使用哪種工具，需先安裝net-tools（提供ifconfig命令）和iw（管理無線網卡模式）：

   sudo apt update
   sudo apt install net-tools iw
   

2. 查看網絡接口：
   使用以下命令確認網卡名稱（有線為eth0/enpXsY，無線為wlan0/wlpXsY）：

   ip link show  # 或 sudo ifconfig（若未安裝net-tools）
   

3. 權限設置：
   捕獲數據包需root權限?？蛇x擇：

   • 臨時用sudo運行命令；
   • 將用戶加入wireshark組（圖形化工具推薦）：

     sudo usermod -aG wireshark $(whoami)
     sudo systemctl restart wireshark  # 重啟生效
     

三、圖形化工具：Wireshark配置

1. 安裝Wireshark：
   添加官方PPA以獲取最新版本，安裝時選擇“允許非root用戶捕獲”：

   sudo add-apt-repository ppa:wireshark-dev/stable
   sudo apt update
   sudo apt install wireshark
   

2. 啟動與接口選擇：

   • 直接運行wireshark，選擇要捕獲的接口（如wlp0s20f3）；
   • 若無線網卡未顯示，需確保已加入wireshark組并重啟系統。

3. 過濾與保存：

   • 實時過濾：在過濾欄輸入表達式（如tcp.port == 80捕獲HTTP流量）；
   • 保存數據：點擊“File”→“Save As”將捕獲的.pcap文件存至本地，便于后續分析。

四、命令行工具：tcpdump配置

1. 基本捕獲：
   指定接口捕獲數據包（如eth0），-w參數保存至文件：

   sudo tcpdump -i eth0 -w capture.pcap
   

2. 過濾數據包：
   通過表達式縮小范圍（常見示例）：

   • 捕獲特定IP：sudo tcpdump -i eth0 host 192.168.1.100；
   • 捕獲HTTP流量：sudo tcpdump -i eth0 port 80；
   • 捕獲TCP SYN包：sudo tcpdump -i eth0 'tcp[tcpflags] & (tcp-syn) != 0'。

3. 讀取與分析：
   用tcpdump讀取保存的文件：

   sudo tcpdump -r capture.pcap -nn  # -nn顯示IP和端口而非域名
   

五、無線網卡Monitor模式配置（aircrack-ng）

無線嗅探需將網卡設置為Monitor模式（監聽所有空口數據包），步驟如下：

1. 停止干擾進程：
   關閉網絡管理服務，避免網卡自動切回Managed模式：

   sudo systemctl stop NetworkManager
   sudo systemctl stop wpa_supplicant
   

2. 設置Monitor模式：

   • 查看網卡接口名：iw dev（記下Interface字段，如wlx24ec99d071f6）；
   • 關閉網卡：sudo ifconfig wlx24ec99d071f6 down；
   • 設置模式：sudo iw dev wlx24ec99d071f6 set type monitor；
   • 啟動網卡：sudo ifconfig wlx24ec99d071f6 up。

3. 設置信道：
   捕獲特定信道的流量（如信道52）：

   sudo iw dev wlx24ec99d071f6 set channel 52
   

4. 啟動捕獲：
   用Wireshark或tcpdump捕獲wlan0mon（Monitor模式生成的接口）：

   sudo wireshark -i wlan0mon
   # 或
   sudo tcpdump -i wlan0mon -w wireless_capture.pcap
   

5. 退出Monitor模式：
   恢復網卡至Managed模式，重啟網絡服務：

   sudo ifconfig wlan0mon down
   sudo iw dev wlan0mon set type managed
   sudo ifconfig wlan0mon up
   sudo systemctl start NetworkManager
   sudo systemctl start wpa_supplicant
   

六、合法性注意事項

• 授權要求：僅在合法授權的情況下使用Sniffer，禁止未經許可監控他人網絡；
• 隱私保護：捕獲的數據包可能包含敏感信息（如密碼、個人信息），需妥善保管；
• 合規性：遵守《網絡安全法》等相關法律法規，避免非法侵入或破壞網絡。