以下是Linux Sniffer的一般配置與使用方法:
安裝
- 使用包管理器:在Debian/Ubuntu系統中�,可安裝Wireshark等工具�����,如
sudo apt-get install wireshark����;在CentOS/RHEL系統中����,也可通過類似命令安裝相關工具包��。
- 從源代碼編譯安裝:適用于部分特定Sniffer工具����。以netsniff為例��,需先安裝依賴庫�,然后下載源代碼����、編譯安裝����,具體命令如下:
- 安裝依賴庫:
- Debian/Ubuntu:
sudo apt-get update�;sudo apt-get install build-essential libncurses5-dev zlib1g-dev gawk flex quilt git-lfs libssl-dev xz-utils -y
- CentOS/RHEL:
sudo yum groupinstall "Development Tools" -y���;sudo yum install ncurses-devel zlib-devel awk flex quilt git-lfs openssl-devel xz -y
- 下載并編譯安裝:
git clone https://github.com/netsniff/netsniff.git�����;cd netsniff�;make����;sudo make install
配置
以netsniff為例�����,其默認配置文件位于/etc/netsniff/netsniff.conf��,可修改以下參數:
- 啟用/禁用捕獲:
CAPTURE_ENABLED1或CAPTURE_ENABLED0�。
- 捕獲模式:
MODEpromisc(混雜模式)或MODEnonpromisc����。
- 接口:如
INTERFACEeth0或INTERFACEwlan0�����。
- 過濾器表達式:例如
FILTER "tcp and src host 192.168.1.100"����。
使用
- 啟動:對于netsniff��,可使用
sudo /usr/local/bin/sniff命令啟動���;也可將其添加到系統服務中實現開機自動運行��。
- 捕獲數據包:以tcpdump為例�����,在eth0接口上捕獲數據包的命令為
sudo tcpdump -i eth0����。
- 過濾數據包:可在命令中添加表達式���,如
sudo tcpdump -i eth0 port 80�����,用于捕獲HTTP流量�。
- 保存與分析:使用
sudo tcpdump -i eth0 -w capture.pcap將數據包保存到文件����,之后可用Wireshark等工具打開分析���。
